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Abstract 


Automated driving promises to improve safety, comfort, and efficiency of road 
traffic and has the potential to catalyze a fundamental transformation of mo- 
bility. In addition to perceiving and interpreting its environment, an auto- 
mated vehicle must reliably make safe and temporally consistent decisions — 
for example, whether, when and how to change lanes. 


Since specialized behavior planning solutions already exist for many scenar- 
ios, the decision-making should be able to combine them appropriately. At 
the same time, it must be robust against faulty outputs or even failures of 
individual behavior options. Finally, the decision-making process should be 
transparent and traceable to enable an effective development process. 


Therefore, this work first proposes an application-independent system archi- 
tecture for secure and robust behavioral decision-making. It assembles basic 
behavior blocks in a hierarchical arbitration graph and ensures safety through 
verification and diverse levels of fallback. The respective behavior blocks are 
responsible for situation interpretation and behavior planning, while generic 
arbitrators carry out the decision process. 


This architecture is then applied to the context of automated driving and eval- 
uated in simulation. Thereby, the behavior options plan individual driving 
maneuvers and output them as trajectories. Multiple verifiers check these 
for feasibility, drivability and road safety. If a driving maneuver turns out to 
be unsafe, for example, the arbitration uses its alternative options and three 
fallback levels to continue generating safe behavior. 


The evaluation shows that the presented method produces safe and stable 
driving behavior even at high failure rates. Meanwhile, the decoupling of sit- 
uation interpretation and decision-making contributes to a transparent and 


Abstract 


comprehensible decision-making process. This rigorous modularity allows to 
combine a wide range of behavior planning methods in an efficient and scal- 
able manner. In addition, the bottom-up design leads to fast prototyping and 
iterative enhancement of the overall system. 


ii 


Kurzfassung 


Automatisiertes Fahren verspricht die Sicherheit, den Komfort und die Effi- 
zienz des Straßenverkehrs zu verbessern und hat das Potenzial eine grund- 
legende Transformation der Mobilität anzustoßen. Neben der Wahrnehmung 
und Interpretation seines Umfelds muss ein automatisiertes Fahrzeug zuver- 
lässig sichere und zeitlich konsistente Entscheidungen treffen — bspw. ob, 
wann und wie ein Fahrstreifenwechsel durchgeführt wird. 


Da es für viele Szenarien bereits spezialisierte Lösungsansätze zur Verhaltens- 
planung gibt, sollte die Verhaltensentscheidung in der Lage sein, diese sinn- 
voll miteinander zu kombinieren. Gleichzeitig muss sie robust gegen fehler- 
hafte Ausgaben oder gar Ausfälle einzelner Verhaltensoptionen sein. Schließ- 
lich sollte der Entscheidungsprozess transparent und nachvollziehbar sein, 
um einen effektiven Entwicklungsprozess zu ermöglichen. 


Daher wird in dieser Arbeit zunächst eine anwendungsunabhängige System- 
architektur zur sicheren und robusten Verhaltensentscheidung vorgeschla- 
gen. Diese setzt grundlegende Verhaltensoptionen in einem hierarchischen 
Arbitrationsgraphen zusammen und sichert dabei die Stellgrößen mittels 
Verifikation und diversen Rückfallebenen ab. Die jeweiligen Verhaltensbau- 
steine übernehmen dabei die Situationsinterpretation und Verhaltensplanung, 
während generische Arbitratoren den Entscheidungsprozess realisieren. 
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Kurzfassung 


Anschließend wird diese Architektur auf den Kontext des automatisierten 
Fahrens angewandt und in Simulation evaluiert. Dabei planen die Verhaltens- 
optionen einzelne Fahrmanöver und geben diese als Trajektorien aus. Drei Ve- 
rifikatoren prüfen diese auf Gültigkeit, Realisierbarkeit und Verkehrssicher- 
heit. Stellt sich ein Fahrmanöver bspw. als unsicher heraus, greift die Arbi- 
tration auf Alternativoptionen und drei Rückfallebenen zurück, um weiterhin 
ein sicheres Verhalten zu erzeugen. 


Die Evaluation zeigt, dass die vorgestellte Methode auch bei hohen Ausfall- 
raten ein sicheres und stabiles Fahrverhalten erzeugt. Die Entkopplung von 
Situationsinterpretation und Verhaltensentscheidung trägt außerdem zu einer 
transparenten und nachvollziehbaren Entscheidungsfindung bei. Dank kon- 
sequenter Modularität können vielfältige Methoden der Verhaltensplanung 
effizient und skalierbar miteinander kombiniert werden. Zudem ermöglicht 
der Bottom-Up Entwurf schnelles Prototyping und eine iterative Weiterent- 
wicklung des Gesamtsystems. 
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1 Einleitung 


Dieses Kapitel stellt zunächst die Motivation für die vorliegende Dissertati- 
on, sowie das zugrunde liegende Arbeitsumfeld vor. Anschließend wird in 
Abschnitt 1.2 der Stand der Technik zu verwandten Forschungsthemen um- 
rissen, bevor Abschnitt 1.3 die Beiträge dieser Arbeit zusammenfasst und Ab- 
schnitt 1.4 einen Überblick über die weiteren Kapitel gibt. 


1.1 Motivation und Umfeld der Arbeit 


Fahrerassistenzsysteme und automatisiertes Fahren haben in den letzten vier 
Jahrzehnten enorme Fortschritte erreicht [Ben14, Bad21]. Trotz gestiegener 
Neuzulassungen hat die Fahrerassistenz auf Stabilisierungsebene, wie ABS 
und ESP, die Zahl tödlicher Unfälle drastisch reduzieren können. Dies leite- 
te u.a. die Entwicklung von Unfallwarn- und Komfortsystemen ein, die sich 
mittlerweile fest auf dem Automobilmarkt etabliert haben. Das automatisierte 
Fahren stellt den nächsten Schritt dar, bei dem das Fahrzeug je nach Automa- 
tisierungsgrad die dynamische Fahraufgabe teilweise oder sogar ganz vom 
Menschen übernimmt [SAE21]. 


Durch diese weitere Automatisierung soll die Verkehrssicherheit sowie der 
Fahrkomfort noch weiter erhöht sowie der Verkehrsfluss optimiert und somit 
Emissionen reduziert werden. Zusätzlich werden vollautomatisierte Fahrzeu- 
ge neue Formen der Mobilität ermöglichen, die sogar gesellschaftliche The- 
men wie die soziale Teilhabe mobilitätseingeschränkter Menschen berühren. 
Erhöht sich durch die Automatisierung zudem die Attraktivität von Carsha- 
ring und anderen alternativen Mobilitätsformen, besteht die Chance heuti- 
ge Parkflächen wieder zu lebenswerten öffentlichen Räumen umzugestalten. 
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Schließlich werden die hohen Investitionen zweifellos auch durch wirtschaft- 
liche Überlegungen, wie bspw. Kosteneinsparungen in der Logistik und der 
Personenbeförderung, motiviert. Einerseits sind in diesen Branchen folglich 
Arbeitsplatzverluste zu erwarten [Moh22], andererseits verschlechtern sich 
die Arbeitsbedingungen von Berufskraftfahrern in der Logistik immer wei- 
ter [Dril4, Göt22]. Verkehrsverbünde im Öffentlichen Personennahverkehr 
haben zudem seit Jahren Schwierigkeiten ausreichend Berufskraftfahrer zu 
finden [Völ18]. 


Teil- oder vollautomatisiertes Fahren hat also das Potenzial, die Art und Weise 
wie wir uns fortbewegen grundlegend hin zu einer sicheren, effizienten, nach- 
haltigen und inklusiven Mobilität zu verändern. Begleitet wird diese Trans- 
formation von einem Wandel in der Arbeitswelt des Mobilitätssektors und 
weiteren, bisweilen kaum voraussehbaren, Sekundäreffekten. 


Angetrieben durch die positiven Gestaltungsmöglichkeiten sowie technologi- 
sche Sprünge im Bereich des Maschinellen Lernens, haben die Forschungsan- 
strengungen im Bereich der Fahrerassistenzsysteme und vollautomatisierter 
Fahrzeuge zuletzt sowohl im akademischen als auch im kommerziellen Be- 
reich drastisch zugenommen. Dabei muss ein automatisiertes Fahrzeug sei- 
ne Umgebung zum einen zuverlässig wahrnehmen, zum anderen auf dieser 
Grundlage sichere Fahrmanöver generieren. Die Verhaltensentscheidung be- 
stimmt hierfür Zeitpunkt, Art und Ausprägung des geplanten Fahrmanövers 
- also ob, wie, wo und wann bspw. ein Fahrstreifenwechsel stattfinden oder 
wann und in welche Parklücke eingeparkt werden soll. Gleichzeitig stellt sie 
sicher, dass das Verhalten zeitlich konsistent, komfortabel, zielführend und 
sicher ist. 


Während die Wahrnehmung auf großen Datensätzen evaluiert werden kann, 
wird die Regelung in Simulation, mittels Hardware-in-the-Loop oder auf ge- 
schlossenem Testgelände auf dem Fahrzeug erprobt. Zwar können auch Teile 
der Verhaltensgenerierung in Simulation validiert werden, allerdings hängt 
ihre Leistungsfähigkeit stark von der Interaktion mit anderen Verkehrsteil- 
nehmern im realen Straßenverkehr ab, da menschliches Verhalten in Simu- 
lation nur unzureichend modelliert werden kann. Daher ist eine sichere und 
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robuste Verhaltensentscheidung von wesentlicher Bedeutung, um die Erpro- 
bung und den späteren Einsatz von automatisierten Fahrzeugen im Straßen- 
verkehr zu ermöglichen. 


Gleichzeitig besteht der Bedarf für eine skalierende und generalisierende Soft- 
warearchitektur, die es ermöglicht, die vielfältigen erprobten Verfahren zur 
Verhaltensplanung in bestimmten Szenarien [Hoe17, Mir18, Hub19, Deb21] 
- einschließlich klassischer und probabilistischer Methoden sowie Ansätzen 
des Maschinellen Lernens - in einer übergeordneten Verhaltensentscheidung 
miteinander zu kombinieren. Unternehmen wie Waymo und Über setzen die 
Generierung von taktischem und strategischem Verhalten jedoch ausschließ- 
lich mittels Maschinellem Lernen, in Teilen sogar in sog. Ende-zu-Ende Archi- 
tekturen, um [Ban19, Cas21]. Deutsche Fahrzeughersteller und -zulieferer set- 
zen hingegen auf klassische Ansätze, wie Endliche Zustandsautomaten oder 
Entscheidungsbäume [Aeb15], die eine solche Kombination von Methoden er- 
möglicht. Aber auch kleinere Forschungseinrichtungen, bspw. aus dem uni- 
versitären Kontext, setzen auf regelbasierte Verfahren zur Entscheidungsfin- 
dung, weil diese einfach umzusetzen und schnell einsatzbereit sind. Bei stei- 
gender Anzahl an Verhaltensoptionen leiden solche Ansätze in der Regel je- 
doch unter schlechter Erklärbarkeit, Wartbarkeit und Skalierbarkeit. Daher 
hat die Robotik viele Architekturen hervorgebracht, um diese Probleme zu 
adressieren. Darunter sind die verhaltensbasierten Systeme und ihre Derivate 
besonders interessant. 


Vor diesem Hintergrund wird in der vorliegenden Arbeit ein vielversprechen- 
des, verhaltensbasiertes Verfahren zur Entscheidungsfindung aus der Robotik 
aufgegriffen und auf den Anwendungsbereich des automatisierten Fahrens 
übertragen. Anschließend wird die Methode mit Maßnahmen aus der For- 
schung zu zuverlässigen und fehlertoleranten Systemen sowie der Verkehrs- 
sicherheit erweitert, um schließlich eine sichere und robuste Verhaltensent- 
scheidung für automatisierte Fahrzeuge zu realisieren. Die vorgeschlagene 
Methode nutzt modulare Verhaltensbausteine in einem hierarchischen Ar- 
bitrationsgraphen, ist skalierbar in der Anzahl der Verhaltensoptionen und 
ermöglicht die Kombination vielfältiger szenariospezifischer Verfahren. Au- 
ßerdem gewährleistet sie eine robuste Ausführung und sicheres Verhalten 
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durch Verifikation und diverse Rückfallebenen. Der modulare und hierarchi- 
sche Aufbau ermöglicht zudem einen iterativen Entwurfsprozess, erhöht die 
Wartbarkeit und führt zu einer transparenten sowie nachvollziehbaren Ent- 


scheidungsfindung. 


1.2 Stand der Technik 


Die Literatur ist reich an diversen Verfahren zur Verhaltens- bzw. Trajektori- 
enplanung in spezifischen Situationen sowie zur Verhaltensentscheidung, die 
einer Strategie folgend zwischen diesen Manöveroptionen wählt. Dabei tref- 
fen erstere teilweise auch implizite kombinatorische Manöverentscheidun- 
gen, bspw. wann und in welche Lücke sich das Fahrzeug in einem Kreisver- 
kehr einordnet [Deb21]. Mittels Verhaltensverifikation soll zudem gewähr- 
leistet werden, dass nur sichere Fahrmanöver ausgeführt werden. Im Folgen- 
den wird der Stand der Technik in diesen drei Forschungsfeldern beleuchtet. 


1.2.1 Verhaltensplanung 


Zu den klassischen Methoden der Trajektorienoptimierung zählen u.a. 
Graphensuchverfahren aus der Dynamischen Programmierung, die Mo- 
dellprädiktive Regelung zur Lösung des Optimalsteuerungsproblems und 
direkte oder indirekte Methoden aus der statischen Optimierung [Wer17]. 
2013 wurde die sog. Bertha Benz Memorial Route nahezu vollständig auto- 
matisiert befahren. Die Trajektorienplanung wurde hierbei als quadratisches 
Optimierungsproblem formuliert und mittels Sequentieller Quadratischer 
Programmierung gelöst [Zie14a]. Gutjahr u.a. [Gut17] schlagen hingegen 
eine lineare Modellprädiktive Regelung vor, um ein linear-quadratisches 
Optimalsteuerungsproblem zu lösen. Durch eine geschickte Modellierung 
konvergiert das Verfahren garantiert und außergewöhnlich schnell, sofern 
eine Lösung existiert. Schließlich bestimmen Banzhaf u.a. [Ban18] Trajek- 
torien zum Manövrieren in engen Umgebungen mittels Rapidly-exploring 
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Random Trees (RRT*) und kinematischen Bewegungsmodellen. Bemerkens- 
wert ist, dass hierbei auch zu erwartende Unsicherheiten in der Regelung 
und Lokalisierung beriicksichtigt werden. 


Neben Ansätzen aus der Regelungstechnik und Optimierungstheorie ge- 
winnen probabilistische Methoden sowie Verfahren des Maschinellen Ler- 
nens immer mehr Aufmerksamkeit [Kir21]. Partiell beobachtbare Markow- 
Entscheidungsprobleme (POMDPs) werden eingesetzt, um Unsicherheiten 
explizit in das Entscheidungsproblem zu integrieren. Somit werden Aktionen 
gefördert, die dazu beitragen Unsicherheiten bspw. in der Wahrnehmung 
und Prädiktion zu reduzieren. Hubmann u.a. [Hub18a] planen Trajektorien 
für komplexe Kreuzungssituationen entlang eines vorab bestimmten Pfades, 
wobei die nur indirekt beobachtbare Routenintention anderer Verkehrsteil- 
nehmer mittels POMDP optimal in die Planung einbezogen wird. 


Ansätze des Maschinellen Lernens, auch die des Bestärkenden Lernens, bauen 
häufig auf erfolgreiche Künstliche Neuronale Netze aus der Bildverarbeitung 
auf. Beispielsweise projizieren Chen u. a. [Che19] die Eingangsdaten in Vogel- 
perspektive, reduzieren dieses generierte Bild mithilfe eines Autoencoders in 
eine niedrig-dimensionale Repräsentation (sog. Latente Zustandscodierung) 
und speisen diese bspw. in eine Actor-Critic-Architektur ein. Hiermit gelingt 
es der Methode die Quer- und Längsplanung für einen komplexen, stark be- 
fahrenen Kreisverkehr zu realisieren. 


1.2.2 Verhaltensentscheidung 


Im Bereich der Verhaltensentscheidung finden sich sowohl monothematische 
Methoden als auch generische Architekturen, die es ermöglichen diverse Ver- 
fahren der Verhaltensplanung zu kombinieren. Insbesondere Ende-zu-Ende 
Architekturen des Maschinellen Lernens, setzen auf einen einheitlichen An- 
satz für alle möglichen Manöver- und Trajektorienvarianten. In [Cas21] wird 
die gesamte Verarbeitungskette - von der Wahrnehmung, über die Onlinekar- 
tierung bis hin zur Routenplanung - gelernt. Die Trajektorienkandidaten wer- 
den aus einer Datenbank real beobachteter Experten-Trajektorien entnom- 
men und mit einer ebenfalls gelernten Kostenfunktion bewertet. 
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Solche Ansätze des Maschinellen Lernens haben, neben einer einheitlichen 
Formulierung, den Vorteil, dass sie Unsicherheiten in der Situationsinterpre- 
tation implizit mit berücksichtigen. Allerdings sind hierzu meist enorme Da- 
tenmengen und eine leistungsfähige Rechnerinfrastruktur notwendig. Zudem 
bieten sie beim Entwurf und der Weiterentwicklung nur sehr indirekte Mög- 
lichkeiten das Systemverhalten zu beeinflussen. Wird also in spezifischen Si- 
tuationen ein Fehlverhalten beobachtet, ist es schwierig dies gezielt zu ver- 
bessern, zumal bei Systemänderungen im Zweifelsfall auch das Verhalten in 
anderen Situationen verändert wird. 


Klassische Architekturen der Verhaltensentscheidung können solche Kopp- 
lungen reduzieren oder gar vollständig aufheben. Außerdem erlauben sie den 
Einsatz unterschiedlicher Verfahren zur Verhaltensplanung, sodass je nach 
angestrebter Funktionalität oder adressierter Situation die hierfür bestmög- 
liche Methode eingesetzt werden kann. Zunächst wurden vielfach zustands- 
basierte Architekturen, wie Endliche Zustandsautomaten verwendet, um je 
nach Situation einen geeigneten Fahrmodus zu wählen [Mon08, Zie14b]. In 
[Mon08] bspw. bilden die Zustände verschiedene Manöveroptionen - z.B. 
Freie Fahrt, Kreuzung passieren, Einparken und Wenden - ab. [Ard11] stellt 
ein hybrides Konzept vor, das Endliche Zustandsautomaten und Entschei- 
dungsbäume für das hochautomatisierte Fahren auf Autobahnen kombiniert. 
Ein übergeordnetes Netzwerk aus hybriden deterministischen Zustandsauto- 
maten bestimmt dabei den Systemzustand. Daraufhin bestimmen zwei Ent- 
scheidungsbäume den Fahrwunsch, prüfen die Durchführbarkeit von Manö- 
veroptionen und legen schließlich jeweils den Modus für die Quer- und Längs- 
führung fest. 


Zustandsbasierte Architekturen sind i.d.R. einfach umzusetzen und können 
verschiedene Verfahren zur Verhaltensplanung miteinander kombinieren. 
Durch ihren Top-Down Ansatz muss allerdings im Entwurfsprozess, wie auch 
der Weiterentwicklung, stets das Gesamtsystem und die Wechselwirkungen 
einzelner Zustände miteinander berücksichtigt werden. Bei einer großen 
Zahl an Zuständen wird somit die Komplexität von bspw. Endlichen Zu- 
standsautomaten nicht mehr beherrschbar. Folglich skalieren solche Systeme 
nur schlecht mit der Anzahl an Verhaltensoptionen. 


1.2 Stand der Technik 


Als Gegenentwurf zu zustandsbasierten Architekturen haben sich in der 
Robotik, ausgehend von Brooks’ Subsumptionskonzept [Bro86], zahlreiche 
verhaltensbasierte Methoden entwickelt. Diese setzen das Gesamtverhalten 
im Bottom-Up Design aus einfachen Teilverhalten zusammen. Die Com- 
puterspielbranche brachte hieraus später die Verhaltensbäume hervor, die 
zunächst in [Ögr12] konzeptionell für unbemannte Luftfahrzeuge eingesetzt 
und anschließend auf weitere Anwendungsgebiete der Robotik übertragen 
wurden [Col18]. Dabei wird die Verhaltensentscheidung über eine Baum- 
struktur mittels sog. Kontrollfluss-Knoten realisiert. Die Blätter des Baumes 
übernehmen hingegen die Verhaltensplanung oder gar Regelung, wobei sie 
direkten Zugriff auf Sensorik und Aktorik haben können. 


Unabhängig davon wurden im Roboterfußball Arbitrationsgraphen entwor- 
fen, die u.a. das Subsumptionskonzept mit Objektorientierter Programmie- 
rung kombinieren [Lau10]. Dabei adressieren modulare Verhaltensbausteine 
grundlegende Verhaltenskompetenzen und übernehmen außerdem die zuge- 
hörige Situationsinterpretation. Jeder Verhaltensbaustein gibt also selbststän- 
dig an, ob sein Verhalten in der vorliegenden Situation sinnvoll anwendbar 
ist. Auf dieser Grundlage entscheiden anwendungsunabhängige Arbitrato- 
ren, die in einer hierarchischen Graphstruktur angeordnet sind, welche Ver- 
haltensoption voraussichtlich am geeignetsten ist. Einheitliche Eingabe- und 
Ausgabeschnittstellen der Verhaltensbausteine und Arbitratoren stellen ih- 
re Wiederverwendbarkeit sicher und erhöhen zugleich die Verständlichkeit 
des Gesamtsystems. In [Orz20] wurden Arbitrationsgraphen erstmalig in den 
Kontext des automatisierten Fahrens übertragen und ihre Vorzüge in Simula- 
tion validiert. Die Verhaltensbausteine realisieren dabei einzelne Fahrmanö- 
ver, wie Folgefahrt, Fahrstreifenwechsel und Einparken. Für die Verhaltens- 
entscheidung wurden Arbitratoren eingesetzt, die zwischen diesen Optionen 
nach festgelegter Priorität und zu erwartenden Routingkosten wählen. 


Verhaltensbasierte Architekturen zeichnen sich u.a. durch eine hohe Reak- 
tivität, konsequente Modularität und entsprechend gute Skalierbarkeit aus. 
Sie sind vergleichbar einfach umzusetzen wie zustandsbasierte Architektu- 
ren, und können ebenfalls verschiedene Verfahren der Verhaltensplanung in 
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einem Gesamtsystem kombinieren. Zusatzlich bieten sie durch ihren hierar- 
chisch modularen Aufbau eine optimale Struktur, um einen Verifikationsme- 
chanismus mit Rückfallebenen direkt in die Verhaltensentscheidung zu in- 
tegrieren. 


1.2.3 Verhaltensverifikation 


Die Verifikation geplanter Fahrmanöver bzw. die Absicherung der Verhaltens- 
generierung ist ein noch junges und offenes Forschungsfeld. Bisher werden 
diesbezüglich insbesondere folgende zwei prominente Methodenklassen ver- 
folgt: Das Konzept der Verantwortungsbewussten Sicherheit [Sha17] ist dar- 
auf ausgelegt zu bewerten, ob ein Verhalten für die jeweilige Situation an- 
gemessen und verantwortungsvoll ist. Hierzu formalisiert es Verkehrsregeln, 
legt sinnvolle Annahmen fest und definiert Begriffe wie sicherer Abstand, ge- 
fahrliche Situation, angemessene Reaktion und Verantwortung. Die Autoren zei- 
gen zudem, dass es zu keinem Unfall käme, wenn sich alle Verkehrsteilneh- 
mer an die vorgestellten Regeln hielten. Während die einzelnen formulier- 
ten Regeln sich in einfachen mathematischen Formeln niederschlagen, bildet 
das gesamte Konzept einen umfangreichen Katalog an situationsspezifischen 
Regeln und Anforderungen an die zeitlichen sowie räumlichen Abstände in 
Quer- und Längsrichtung, die Fahrzeuggeschwindigkeit und die Beschleuni- 
gung. Die überwältigende Anzahl an festzulegenden Parametern erschwert 
allerdings den Einsatz der Methode. 


Ein einheitlicherer Ansatz basiert auf der Erreichbare-Mengen-Analyse und 
zielt darauf ab, eine beweisbar sichere sog. Fail-Safe-Trajektorie vorzuhalten, 
auf die gewechselt werden kann, sofern eine Kollision droht [Alt16]. Dabei 
wird die Fail-Safe-Trajektorie nur dann als sicher eingestuft, wenn sie kei- 
ne Überlappung mit den Worst-Case-Belegungen anderer Verkehrsteilneh- 
mer hat, also garantiert kollisionsfrei ist. Die Soll-Trajektorie muss hingegen 
nur sicherstellen, dass im nächsten Planungsintervall noch auf die Fail-Safe- 
Trajektorie gewechselt werden kann. Allerdings treffen bisherige Publikatio- 
nen teilweise weitreichende Annahmen, die für die reale Anwendung sicher- 
lich noch relaxiert werden müssen. Beispielsweise gehen sie davon aus, dass 
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Fahrzeuge ihren Fahrstreifen - abgesehen von Fahrstreifenwechseln - nicht 
verlassen, worauf man gerade in beengten Kreuzungsbereichen nicht vertrau- 
en kann, insbesondere wenn keine Fahrbahnmarkierungen vorhanden sind. 
Dennoch stellt die Erreichbare-Mengen-Analyse einen hilfreichen Ansatz dar, 
u. a. weil er konsistent, anschaulich und zugleich effizient ist. Zudem lasst sich 
das Konzept der Fail-Safe-Trajektorien sehr gut in eine Verhaltensentschei- 
dung mit Rückfallebenen integrieren. 


1.3 Beiträge der Arbeit 


Diese Arbeit schlagt eine Methode zur Verhaltensgenerierung fiir automati- 
sierte Fahrzeuge vor, welche bereits innerhalb der Verhaltensentscheidung si- 
cherstellt, dass geplante Fahrmanöver realisierbar und sicher sind. Somit kann 
sie bei riskanten Manövern oder bei Ausfällen einzelner Verhaltensoptionen 
rechtzeitig eingreifen und auf Alternativoptionen oder Rückfallebenen wech- 
seln. 


Hierzu wird ein Arbitrationsgraph entworfen, dessen Verhaltensbausteine 
grundlegende Verhaltenskompetenzen bzw. Fahrmanöver adressieren und 
in Form von Trajektorien ausgeben. Zudem wird das Arbitrationsverfahren 
um einen Verifikationsschritt und eine darauf ausgelegte Fehlerbehandlung 
erweitert. So wird garantiert, dass die Arbitratoren nur solche Trajektorien 
weiterreichen, die die Verifikation bestehen. Für die Rückfallebene werden 
Verhaltensbausteine implementiert, die das vorige Manöver fortsetzen, ei- 
ne vorgehaltene Plan-B-Trajektorie zurückgeben oder eine Notbremsung 
durchführen. 


Schließlich tragen diese Maßnahmen zu einer robusten und sicheren Verhal- 
tensgenerierung bei, die auch auf andere Robotikanwendungen übertragbar 
ist. Die wesentlichen Beiträge dieser Arbeit sind zusammenfassend: 


e Definition einer Szenario-unabhängigen Manöverrepräsentation für 
das automatisierte Fahren. 


1 Einleitung 


« Erweiterung des Arbitrationsverfahrens um eine Verifikationslogik, die 
sicherstellt, dass nur Verhaltensoptionen ausgeführt werden, welche 
einer Verifikation standhalten. 


« Definition dreier Verifikatoren für das automatisierte Fahren, die 
potenzielle Manöver auf Gültigkeit, Realisierbarkeit und 
Verkehrssicherheit überprüfen. 


e Entwurf eines Sicherheitskonzepts, um — mittels Verifikation, 
Echtzeitfähigkeit, Redundanz und Diversität — eine robuste und 
sichere Verhaltensarbitration zu gewährleisten. 


« Evaluation des vorgeschlagenen Sicherheitskonzepts in einer 
anwendungsnahen Simulationsumgebung. 


1.4 Überblick 


Der restliche Teil der Arbeit ist wie folgt aufgebaut. 


In Kapitel 2 wird zunächst eine Einführung in die für diese Arbeit wesent- 
lichen Grundlagen gegeben. Im Anschluss beschreiben Kapitel 3 und 4 den 
Kern dieser Arbeit: Die Methode der Verhaltensarbitration wird zunächst auf 
das automatisierte Fahren übertragen und anschließend zu einem fehlertole- 
ranten und sicheren System erweitert. Daraufhin werden in Kapitel 5 grund- 
legende Fahrmanöver zur Befahrung der Karlsruher Teststrecke entworfen 
sowie Fahrmanöver der Rückfallebenen definiert, um das Sicherheitskonzept 
aus Kapitel 4 zu komplettieren. Anschließend präsentiert Kapitel 6 den Real- 
versuch und Ergebnisse der Evaluation. Zuletzt schließt Kapitel 7 die Arbeit 
mit einer Diskussion und Zusammenfassung ab. 
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2 Grundlagen 


In diesem Kapitel sind die fiir diese Arbeit relevanten theoretischen Grundla- 
gen gebündelt. Zunächst wird die Fahraufgabe in Abschnitt 2.1 modelliert und 
gängige Softwarearchitekturen für automatisierte Fahrzeuge vorgestellt. An- 
schließend fasst Abschnitt 2.2 verwandte Verfahren zur Verhaltensentschei- 
dung zusammen, insbesondere die in dieser Arbeit erweiterten Arbitrations- 
graphen. Abschnitt 2.3 geht in Kürze auf die Trajektorienplanung ein, be- 
vor sich Abschnitt 2.4 zuverlässigen und fehlertoleranten Systemen widmet. 
Schließlich wird in Abschnitt 2.5 die Verkehrssicherheit und darin im Spezi- 
ellen die Erreichbare-Mengen-Analyse beschrieben. 


2.1 Architekturen für automatisierte 
Fahrzeuge 


Die Fahraufgabe lässt sich laut [Mic85] wie in Abb. 2.1 als kaskadierter Regel- 
kreis in eine strategische, taktische und operative Ebene gliedern. Die stra- 
tegische Ebene definiert allgemeine langfristige Präferenzen und Ziele, u.a. 
der geplanten Route. Abhängig von der aktuellen Situation und den zuvor 
definierten Zielen werden in der taktischen Ebene Fahrmanöver umgesetzt, 
beispielsweise ein Fahrstreifenwechsel oder ein Haltemanöver. Auf der ope- 
rativen Ebene wird das beabsichtigte Manöver letztlich mit einer Update- 
Frequenz in der Größenordnung von Millisekunden eingeregelt. 
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. General Long 
Strategic Level Plans Time Contant 
Route Speed Criteria 
. Controlled Seconds 
Environmental Manoeuvring Level Action Patterns 
Input 8 
Feedback Criteria 
Automatic Milliseconds 
Control Level Action Patterns 


Environmental 
Input 


Abbildung 2.1: Das 3-Ebenen-Modell nach [Mic85] unterteilt die Fahraufgabe in eine strategi- 
sche, taktische und operative Ebene. 


Dieses ursprünglich menschliche Fahrer beschreibende Modell wird häufig 
auch auf die Automatisierung der Fahrfunktion angewandt. Die strategische 
Ebene übernimmt ein Navigationsmodul. Es bestimmt ausgehend von einem 
gegebenen Fahrtziel, meist voreingestellten Gütekriterien, dem Wegenetz und 
ggf. der aktuellen Verkehrslage die Route. Diese wird in Form von Zwischen- 
zielen, Straßen oder gar Straßenabschnitten dargestellt. Ein Planungsmodul 
bestimmt Fahrmanöver auf taktischer Ebene mit einem Zeithorizont von et- 
wa 5 bis 20 Sekunden. Es bildet die aktuelle Situation einschließlich wahr- 
genommener Verkehrsteilnehmer unter Berücksichtigung der vorgesehenen 
Route und vorhandenen Verkehrsregeln auf eine geeignete Soll-Trajektorie 
ab. Hierfür bestimmt es ggf. auch den zu befahrenden Fahrstreifen. Die ope- 
rative Ebene wird schließlich von der Regelung übernommen. Sie setzt die 
Soll-Trajektorie in einer hochfrequenten Regelschleife in Aktor-Stellgrößen 
wie Lenkwinkel und Beschleunigung um. 


Die somit gängigsten Architekturen für automatisierte Fahrzeuge legt 
Abb. 2.2 dar. Im einfachsten Fall werden die Wahrnehmung, Prädiktion, 
Verhaltensentscheidung, Trajektorienplanung und Regelung in einer entkop- 
pelten Verarbeitungskette durchgeführt. Für die Planung von interaktivem 
Verhalten muss die Prädiktion hingegen in die Verhaltens- und Trajektori- 
enplanung integriert werden. Wird die gesamte Verarbeitungskette in einen 
gemeinsamen Verarbeitungsschritt verwoben, wie es beispielsweise in An- 
sätzen des Maschinellen Lernens häufig zu beobachten ist, spricht man von 
Ende-zu-Ende Planung. 
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Bercention Bredicron Behavior Motion Feedback 

H Planning Planning Control 
Sensot Percention Interactive behavior- Feedback Control 
Input P aware planning Control Output 


End-to-end planning 


Abbildung 2.2: Verschiedene Architekturen für automatisierte Fahrzeuge, angelehnt an [Sch18]. 


2.2 Verhaltensentscheidung 


Die Verhaltensentscheidung ist Teil der taktischen Ebene (vgl. Abb. 2.1) bzw. 
des Planungsmoduls. Ausgehend von der aktuellen Situation trifft sie die Ent- 
scheidung, welches Manöver gefahren wird. Dieses gibt sie entweder in Form 
von Nebenbedingungen an die nachgelagerte Trajektorienplanung oder, 
wenn sie die Trajektorienplanung selbst übernimmt, als Soll-Trajektorie an 
die Regelung weiter. 


In der Literatur haben sich vielfältige Verfahren etabliert, deren Einsatzberei- 
che von reiner Verhaltensentscheidung hin zur situationsspezifischen Trajek- 
torienplanung übergehen. Regelbasierte Verfahren, wie Endliche Zustandsau- 
tomaten, Entscheidungsbäume oder Arbitrationsgraphen, adressieren die rei- 
ne Verhaltensentscheidung durch diskrete Zustands-/Moduswechsel. Graph- 
bzw. suchbasierte Verfahren wie A", Probabilistische Straßenkarten (PRM*) 
und Rapidly-exploring Random Trees (RRT*), sind insbesondere in der Pfad- 
planung mobiler Roboter beliebt, können aber auch zur Entscheidungsfin- 
dung eingesetzt werden. In der Trajektorienplanung kommen immer häufiger 
probabilistische Methoden, wie POMDPs, sowie Verfahren des Maschinellen 
Lernens, u.a. das Bestärkende Lernen, zum Einsatz. Dabei übernehmen sie 
teilweise auch implizite Entscheidungen, bspw. wann und in welche Lücke 
ein Fahrstreifenwechsel stattfindet. 
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In diesem Abschnitt liegt der Fokus auf regelbasierten Verfahren, zu denen 
sowohl klassische zustandsbasierte Verfahren wie Endliche Zustandsautoma- 
ten (Abschnitt 2.2.1) und Entscheidungsbäume (Abschnitt 2.2.2), sowie Verhal- 
tensbasierte Verfahren wie Verhaltensbäume (Abschnitt 2.2.3) und Arbitrati- 
onsgraphen (Abschnitt 2.2.4) zählen. Für eine umfangreiche Methodenüber- 
sicht sei auf [Sch18, Yur20, Voß21, Gam21] verwiesen. Eine umfangreichere 
Fassung dieses Abschnitts erscheint außerdem in [Orz23]. 


Regelbasierte Verfahren sind, wie bereits in Abschnitt 1.3 ausgeführt, insbe- 
sondere im Kontext der Fahrerassistenzsysteme sowie für den Einsatz von 
Versuchsfahrzeugen kleinerer Forschungsgruppen weit verbreitet [Aeb15, 
Bac08, Mon08, Zie14a]. Dies lässt sich u. a. auf ihre einfache Anwendung, zahl- 
reiche frei verfügbare Software-Frameworks [Sch14, Bur18, Gre21b, The20b], 
einschließlich direkter Einbindung in MATLAB [The20a], oder auch deren 
Standardisierung in der Unified Modeling Language [Obj17] zurückführen. 


2.2.1 Endliche Zustandsautomaten 


Endliche Zustandsautomaten, auch als deterministische endliche Automaten 
bezeichnet, haben ihren Ursprung im Hardware Design und der Theoretische 
Informatik [Wag06, Hop07, Vos16]. Mittlerweile werden sie auch in der Ro- 
botik [Sic16] und im Bereich der Fahrerassistenzsysteme eingesetzt [Zie14b, 
Aeb15]. Endliche Zustandsautomaten sind leicht zu verstehen und zugleich 
sehr einfach zu implementieren. 


Dieser Abschnitt fasst die wichtigsten Inhalte aus [Vos16] und [Hop07] zu- 
sammen, um eine praxisorientierte Einführung in die Theorie Endlicher Zu- 
standsautomaten zu geben. 
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Ein Endlicher Zustandsautomat’ besteht aus 


e einer endlichen Menge an Zuständen S, 

e einer endlichen Menge an Eingangssymbolen ÈX (oder Ereignissen), 
e einer endlichen Menge an Ausgangssymbolen A (oder Aktionen), 

e einer Zustandsübergangsfunktion ô : S XÈ > S, 

e einer Ausgabefunktion 2 : S > A, 

e einem Anfangszustand sy € S und 


e einer endlichen Menge an Endzustanden FC S. 


Ein Endlicher Zustandsautomat beginnt zunächst in dem Anfangszustand so. 
Bei jedem, in der Regel von außen eingehenden, Ereignis e; € & wechselt er 
in einen neuen Zustand sj}; = ô(s;, ej). Dabei kann der neue Zustand auch 
als derselbe Zustand se.) = ër festgelegt sein. Nach jedem Zustandswechsel 
in einen Zustand s; gibt der Zustandsautomat die Ausgabe a; = A(s;) aus. Ein- 
zelne Zustände können in Erweiterungen wie den Hierarchischen Zustands- 
automaten wiederum selbst Zustandsautomaten sein oder auch nebenläufige 
Zustandsautomaten enthalten. 


In der Robotik allgemein decken Zustände i.d.R. einzelne Verhaltensmodi ab, 
sodass ihre Ausgaben, die geplante Aktion, als Stell- oder Zielgrößen an die 
ausführende Schicht weitergegeben werden. Die Ereignisse des Zustandsau- 
tomaten werden meist von einer Situationsinterpretation erzeugt, um ggf. ei- 
nen Wechsel des Verhaltensmodus einzuleiten. 


Bspw. setzte das Team Junior der Universität Stanford Endliche Zustandsauto- 
maten erfolgreich in der DARPA Urban Challenge ein [Mon08]. Wie in Abbil- 
dung 2.3 veranschaulicht, stellen hierbei die Zustände taktische Fahrmanöver 
wie Weiterfahrt, Passieren einer Kreuzung oder Einparken ab. Im Sinne ei- 
ner besseren Übersichtlichkeit wurden allerdings zwei Zustände (Escape und 
Traffic Jam) ausgelassen, weil sie von fast allen übrigen Zuständen aus er- 
reichbar sind. 


1 In dieser Arbeit wird die Moore-Notation verwendet. Alternativ lässt sich die Notation auch in 
das sog. Mealy-Modell überführen. 
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Abbildung 2.3: Zustandsautomat das Team Junior zur Teilnahme an der DARPA Urban Challen- 
ge, angelehnt an [Mon08]. 


Für überschaubare Verhaltensprobleme sind Endliche Zustandsautomaten 
aufgrund ihrer einfachen Umsetzung und intuitiven Darstellung eine gute 
Wahl. Da die Anzahl möglicher Zustandsübergänge allerdings im schlimms- 
ten Fall quadratisch mit der Anzahl der Zustände wächst, skalieren sie bei 
komplexeren Systemen schlecht. Dieses Wachstum können Hierarchische 
Zustandsautomaten zumindest auf manuell definierte hierarchische Ebenen 
begrenzen. 


Die schlechte Modifizierbarkeit ist ein weiterer Nachteil von Endlichen Zu- 
standsautomaten: Beim Hinzufügen oder Entfernen von Zuständen müssen 
ggf. viele der bereits vorhandenen Zustände und Zustandsübergänge in Be- 
tracht gezogen und mit angepasst werden. 


Die Zustandsübergänge in Endlichen Zustandsautomaten gleichen außerdem 
Sprunganweisungen, die es erschweren Quellcode zu verstehen, zu analysie- 
ren oder zu verifizieren. Um nachzuvollziehen, warum ein bestimmter Zu- 
stand aktuell aktiv ist, muss folglich eine Ereignishistorie erstellt und aufwen- 
dig Schritt für Schritt nachvollzogen werden. Daher werden Goto Befehle in 
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der Softwareentwicklung spätestens seit Einführung Strukturierter Program- 
miersprachen weitgehend vermieden [Dij68, Dah72]. 


Bei der Visualisierungen von Zustandsautomaten komplexerer Systeme leidet 
schließlich die Übersichtlichkeit an der großen Zahl an Zustandsübergängen. 
In Abb. 2.3 sah sich Team Junior daher sogar gezwungen, zwei stark vernetzte 
Zustände auszulassen. 


2.2.2 Entscheidungsbäume 


Entscheidungsbäume wurden ursprünglich als rekursive Strukturen zur Be- 
schreibung von Klassifikationsregeln entworfen [Mor82, Qui90]. Formal wer- 
den sie als gerichtete geordnete Bäume formuliert. Die Knoten bilden da- 
bei Bedingungen in Form diskreter oder gar boolescher Entscheidungsva- 
riablen x; ab, während die Blätter die daraus resultierenden Entscheidungen 
TU, Xn) repräsentieren. Die Auswertung beginnt am Wurzelknoten und 
wird, je nach Wert seiner Entscheidungsvariable x; = k am k-ten Kindkno- 
ten, rekursiv fortgesetzt bis ein Blatt erreicht wird und somit die Entscheidung 
feststeht. 


In der Praxis werden Entscheidungsbäume häufig als hierarchische Verket- 
tung von if/else Verzweigungen realisiert. Daher erfreuen sie sich in über- 
schaubaren Entscheidungsproblemen großer Beliebtheit. 


Zum Einsatz in Fahrerassistenzsystemen wird i. d. R. eine geeignete Zustands- 
raumdarstellung gewählt, die anschließend mit den Entscheidungsvariablen 
geeignet unterteilt wird [Ard10]. Abbildung 2.4 stellt bspw. zwei Entschei- 
dungsbäume dar, die von BMW - in Kombination mit Endlichen Zustandsau- 
tomaten - für hochautomatisiertes Fahren auf Autobahnen und einen Nothal- 
teassistenten eingesetzt wurde [Ard11]. Hierbei wurden zwei separate Ent- 
scheidungsbäume, jeweils für die Quer- und Längsführung, entworfen. Die 
Entscheidungsvariablen wurden beispielsweise als Spurwechselwunsch aus 
der Situationsinterpretation abgeleitet. Schließlich gaben die Blätter Sollgrö- 
ßen und Nebenbedingungen für die nachgelagerte Trajektorienplanung vor. 
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Abbildung 2.4: Entscheidungsbaume von BMW für hochautomatisiertes Fahren auf Autobah- 


nen und einen Nothalteassistenten [Ard11]. 


Vergleichbar zu Endlichen Zustandsautomaten sind Entscheidungsbaume ein- 
fach zu implementieren und intuitiv begreifbar. Ein weiterer Vorteil ist die 
Modularität und Erweiterbarkeit: Teilbäume können unabhängig vom Rest 


des Baumes entworfen, entwickelt und in den Entscheidungsbaum hinzuge- 
fügt werden können. Die Blätter geben allerdings keinerlei (Erfolgs-)Status 
oder anderweitige Leistungskriterien zurück, sodass das Resultat eines Ver- 
haltens die weitere Verhaltensauswahl nicht direkt beeinflussen kann. 
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2.2.3 Verhaltensbäume 


Verhaltensbäume wurden zunächst in der Computerspiel-Entwicklung ent- 
worfen [Iov22] und sind seit 2012 immer häufiger auch in Robotikanwendun- 
gen im Einsatz [Bag12, Ogr12]. Im Bereich der Fahrerassistenzsysteme oder 
automatisierten Fahrzeuge wurde hingegen bisher nur eine Arbeit publiziert 
[Ols16]. Sie untersucht die Überlegenheit von Verhaltensbäumen gegenüber 
Endlichen Zustandsautomaten in Simulation, indem sie die Skalierbarkeit bei- 
der Methoden mit Softwaremetriken vergleicht. Eine ausführliche Übersicht 
und Einführung in Verhaltensbäume liefern [Iov22, Col18]. Dieser Abschnitt 
soll jedoch eine kurze praxisorientierte Einführung in die Methodik geben. 


Verhaltensbäume zeichnen sich zunächst durch eine strikte funktionale 
Trennung zwischen Verhaltensentscheidung und -ausführung aus. Formal 
betrachtet sind sie zusammenhängende kreisfreie ungerichtete Graphen, 
dessen innere Knoten (sog. Kontrollfluss-Knoten) den Selektionsmechanismus 
festlegen, während die Blätter mögliche Verhalten (sog. Aktions-Knoten) 
sowie Bedingungen (sog. Bedingungs-Knoten) beschreiben. 


Ausgehend vom Wurzelknoten wird der Baum mit einer festgelegten Fre- 
quenz, ähnlich einer Tiefensuche, ausgewertet. Dabei gibt ein ausgewerte- 
ter Knoten über seinen Rückgabewert an, ob er noch ausgeführt wird, er- 
folgreich abgeschlossen wurde oder fehlgeschlagen ist. Je nach Rückgabe- 
wert wertet der übergeordnete Kontrollfluss-Knoten weitere Kindknoten aus 
oder gibt seinen eigenen Status zurück. Dabei stehen verschiedene Arten von 
Kontrollfluss-Knoten zur Verfügung, u.a. zur Realisierung von Sequenzen, 
Fallback-Strukturen und Nebenläufigkeit. 


Wird ein Bedingungs-Knoten ausgewertet, gibt er über seinen Rückgabewert 
zurück, ob die zugrundeliegende Bedingung erfüllt ist, ohne selbst Einfluss 
auf die Umwelt zu nehmen. Aktions-Knoten führen bei einem Aufruf hin- 
gegen das entsprechende Verhalten aus und geben über ihren Rückgabewert 
den Status dieses Verhaltens zurück. Die Aktions-Knoten beschreiben folglich 
die einzelnen Verhaltensoptionen eines Systems, während ihre Vorbedingun- 
gen über Bedingungs-Knoten modelliert werden. Durch die Unterscheidung 
zwischen Bedingungs- und Aktions-Knoten, sind die Vorbedingungen eines 
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Verhaltens allerdings von der eigentlichen Ausführung des Verhaltens ent- 
koppelt. 


Als Beispiel veranschaulicht Abb. 2.5 einen Verhaltensbaum eines interakti- 
ven humanoiden Unterhaltungs-Roboters (vereinfacht aus [Col18]). Der Ro- 
boter soll sich nach Aufforderung des Bedieners setzen, aufstehen, Ball spielen 
oder sich verabschieden. Jede Aktion wird hierbei tiber einen Sequenz-Knoten 
mit ihrem korrespondierenden Bedingungs-Knoten, welcher zurückgibt, ob 
diese Aktion ausgeführt werden soll, verknüpft. Bspw. hängt die Aktion Stand 
Up von der Bedingung Activity Stand Up ab. 


User Interaction 


| Know Ask What 
What to Do to Do 
Perform Activities ` 
e z — a 
ek . Activity Activity Activity Say 
Activity Sit Sit Ball Game Stand Up Stand Up Ba Ge 
Play Ball Game 3 = 
Si Track Wave Say 
Ball Hand Goodbye 
2 2 Throw 
Ball 
Approach Ball Grasp 
BallGlose Ball Grasped Ball 


Abbildung 2.5: Verhaltensbaum fiir einen interaktiven humanoiden Roboter (angepasst aus 
[Col18]). Runde Blätter stellen die Bedingungs-Knoten und eckige Blätter die 
Aktions-Knoten dar. Sequenz-Knoten sind als Pfeil (>), Fallback-Knoten mit ei- 
nem Fragezeichen (?) und Nebenläufigkeits-Knoten mit einem Doppelpfeil (3) 
gekennzeichnet. 


Im Kontext der Fahrerassistenzsysteme oder des automatisierten Fahrens 
könnten Aktions-Knoten Fahrmanöver wie Folgefahrt, Fahrstreifenwechsel 
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oder Einparken realisieren. Um ein sicheres System zu entwerfen, müssten 
sie allerdings mit zuverlässigen Bedingungs-Knoten verknüpft werden. 


Zusammenfassend generalisieren Verhaltensbäume viele andere Architektu- 
ren wie Hierarchische Endliche Zustandsautomaten und Entscheidungsbäu- 
me [Col17], bieten diesen gegenüber allerdings viele Vorteile: Sie überzeu- 
gen insbesondere durch Modularität, hierarchische Anordnung, Wiederver- 
wendbarkeit der Komponenten, Reaktionsschnelligkeit und Interpretierbar- 
keit [C0118]. Im Vergleich zu Endlichen Zustandsautomaten ist vor allem die 
größere Flexibilität vorteilhaft. Einzelne Verhalten können innerhalb eines 
Verhaltensbaums (wieder-)verwendet werden ohne spezifizieren zu müssen, 
welchen Bezug sie zu den anderen Verhaltensoptionen haben [Bag12]. In der 
grafischen Darstellung ist der Selektionsmechanismus eines Verhaltensbaums 
zudem intuitiv sehr gut erfassbar und auch im Online-Betrieb leicht nachvoll- 
ziehbar. Andererseits kann die Darstellung in der Praxis doch sehr umfang- 
reich werden, da häufig jede Vorbedingung als separater Blattknoten model- 
liert wird. Die Sicherheit des Systems hängt außerdem, durch die erwähnte 
Entkopplung von Vorbedingungen und Ausführung eines Verhaltens, maß- 
geblich von der Anordnung der Knoten im Baum ab. Diese Nachteile werden 
von den Arbitrationsgraphen im folgenden Abschnitt adressiert. 


2.2.4 Arbitrationsgraphen 


Das Konzept der Verhaltensarbitration ist im Kontext des Roboterfußballs 
entstanden und kombiniert Ideen aus Brooks’ verhaltensbasierter Subsumpti- 
on [Bro86], wissensbasierten Architekturen wie Belief-Desire-Intention (BDI) 
[Ra092] und Programmierparadigmen wie der Objektorientierten Program- 
mierung [Ste85]. Es wurde ausführlich in [Lau10] beschrieben und wird in 
diesem Abschnitt am selben Beispiel, dem Roboterfußball, zusammengefasst. 


Fußball ist durch eine sich hochdynamisch verändernde Umwelt und zugleich 
etablierte Spieltaktiken und -strategien für Angreifer, Verteidiger und Torhü- 
ter gekennzeichnet. Daher wurde für die Anwendung im Roboterfußball eine 
Architektur gesucht, die es ermöglicht geringe Reaktionszeiten zu erreichen, 
bekannte Spieltaktiken aus einfachen Teilbausteinen zusammenzusetzen und 
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dabei deliberative Komponenten mit Ansätzen des Maschinellen Lernens zu 
kombinieren. Es sollte somit ein modulares Software-Framework entwickelt 
werden, das inkrementell erweiterbar ist, sich durch klare Schnittstellen aus- 
zeichnet und schließlich zu einem transparenten Entscheidungsprozess führt. 


Das Konzept setzt auf atomare Verhaltensbausteine, die einfache Fähigkei- 
ten und Verhaltensweisen abbilden. Diese werden nach Subsumptions-Prinzip 
mittels Arbitratoren zu komplexerem Systemverhalten, also Taktiken bis hin 
zu Strategien, kombiniert. Statt ein Problem also im wissensbasierten Top- 
Down Ansatz zu Teilproblemen zu zerlegen, wird komplexes Verhalten im 
Bottom-Up Entwurf iterativ aus einfachen Verhaltenskompetenzen zusam- 
mengesetzt. 


Im Roboterfußball gibt es bspw. Verhaltensbausteine zum Dribbeln, Ziel an- 
steuern oder Schießen. In Kombination realisieren sie komplexeres Verhalten 
— von simpleren Taktiken wie einem Flankenangriff oder Doppelpass bis hin 
zu ganzen Angriffs- oder Verteidigungs-Strategien in höheren Abstraktions- 
ebenen. 


Als Eingang dient den Verhaltensbausteinen die aktuelle Situation s des Um- 
felds in Form von sensornahen Messdaten oder einem abstrahierten bis hin 
zu interpretierten Umweltmodell. Diese werden mit der Stellfunktion Aktion 
auf aktornahe Stellgrößen u abgebildet: 


u = Aktion(s) (2.1) 


Im Roboterfußball besteht u bspw. aus der gewünschten Längs- und Winkel- 
geschwindigkeit eines Spielers sowie aus Anweisungen für seine Schussvor- 
richtung. Um dabei nicht nur reaktives, sondern auch deliberatives Verhalten 
zu ermöglichen, können die Verhaltensbausteine Situations- und Befehlshis- 
torien anlegen oder randomisierte Verfahren nutzen. 


Jeder Verhaltensbaustein bestimmt, neben seiner eigentlichen Aktion, über die 
sogenannte Start-Bedingung Start auch, ob seine Vorbedingungen erfüllt 
sind und das Verhalten somit aktuell überhaupt anwendbar ist. Ein Fußball- 
spieler kann den Ball bspw. nur dann in Richtung Tor dribbeln, wenn er auch 
tatsächlich in Ballbesitz ist. Ist ein Verhaltensbaustein aktiv, gibt er über die 
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Algorithmus 1 : Generisches Arbitrationsverfahren 


1 function Best eAnwendbareAkt ion (Situation S) 


2 Filtere anwendbare Optionen A C O 

3 Wähle Intention 0 € A aus // Arbitration 
4 Bestimme u = Akt iong(s) 

5 return u 

6 end 

7 

8 while true do 

9 Bestimme die aktuelle Situation s 

10 Bestimme u = BesteAnwendbareAktion(s) 
1 Führe u aus 
ı2 end 


Fortsetzungs-Bedingung Fortsetzung außerdem zurück, ob alle Bedingun- 
gen erfüllt sind, um das Verhalten weiterhin fortzuführen. Denn der Spieler 
kann nur so lange weiter dribbeln, bis er den Ball verliert oder das Dribbelziel 
erreicht hat. Über die Start- und Fortsetzungs-Bedingung bestimmt jeder Ver- 
haltensbaustein also selbst, ob er in der gegebenen Situation anwendbar ist. 
Daher benötigt die aufrufende Instanz selbst kein Wissen über die Vorausset- 


zungen zum Ausführen eines Verhaltensbausteins. 


Generische Arbitratoren stellen eine Menge an Verhaltensbausteinen, an die- 
ser Stelle auch als Optionen © bezeichnet, zu einer Taktik zusammen. AL 
gorithmus 1 beschreibt das Arbitrationsverfahren im Allgemeinen. Zunächst 
wird also die aktuelle Situation s aus den aktuellsten Eingangsdaten bestimmt 
(Zeile 9) und den Verhaltensbausteinen zur Verfügung gestellt. Als Nächstes 
bestimmt der Arbitrator seine beste anwendbare Aktion. Hierzu filtert er aus 
seinen Optionen O jene Optionen A heraus, die aktuell anwendbar sind bzw. 
in deren Domäne die aktuelle Situation fällt. Dies signalisieren die Verhaltens- 
bausteine über ihre Start- und Fortsetzungs-Bedingung: 


s € Domäne(o) & Start,(s) V Fortsetzung, (s), o€ O (2.2) 
A = {o E O|s E Domäne(o)} (2.3) 


Aus den anwendbaren Optionen A wählt der Arbitrator schließlich die best- 
mögliche Option aus, definiert sie als seine Intention 0 und führt diese aus. 
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Für die eigentliche Arbitration, also die Bestimmung der bestmöglichen Opti- 
on, kommen unterschiedliche Schemata infrage. Ein Prioritats-Arbitrator halt 
seine Optionen in einer nach Priorität sortierten Liste und wählt daraus in 
jeder Iteration die erstbeste anwendbare Option. Der Abschluss-Arbitrator 
nutzt ebenfalls eine Prioritätenliste, stellt allerdings sicher, dass eine aktive 
Option nicht durch eine höher priorisierte Option unterbrochen wird, solan- 
ge ihre Fortsetzungs-Bedingung wahr ist. Bei dem Zufalls-Arbitrator wird die 
Auswahl, mit ggf. gewichteten Wahrscheinlichkeiten, zufällig gefällt. Der Se- 
quenz-Arbitrator dient schließlich dazu, Verhaltensoptionen sequenziell ab- 
zuarbeiten. Hierzu führt er seine aktuelle Intention so lange aus, bis ihre Fort- 
setzungs-Bedingung nicht mehr zutrifft. Ist gleichzeitig die Start-Bedingung 
der nächsten Option wahr, wird diese zur neuen Intention und ausgeführt. 


Bei allen Arbitrationsschemata hängt die Start- und Fortsetzungs-Bedingung 
eines Arbitrators ausschließlich von den Start- und Fortsetzungs-Bedingun- 
gen seiner Optionen ab. Die Start-Bedingung des Prioritäts-, Abschluss- und 
Zufalls-Arbitrators ist zum Zeitpunkt k bspw. dann wahr, solange eine seiner 
Optionen eine wahre Start-Bedingung hat: 


Starta) = \/ Starto(s;) (2.4) 
oe 


Der Sequenz-Arbitrator hat hingegen genau dann eine wahre Start-Bedin- 
gung, wenn seine erste Option 0} eine wahre Start-Bedingung hat: 


Start,..($x) = Starto, (Sk) (2.5) 


Die Fortsetzungs-Bedingung eines Arbitrators zeigt wie bei den Verhaltens- 
bausteinen an, ob er in der aktuellen Situation fortgesetzt werden kann. Bei 
den meisten Arbitratoren trifft dies bereits dann zu, wenn eine ihrer Optio- 
nen O eine wahre Start-Bedingung hat oder die letzte Intention 6,_, fortge- 
setzt werden kann. Dies trifft für den Prioritäts, Abschluss und Zufalls-Ar- 
bitrator zu: 


Fortsetzung Lë) = Vy Starto(Sk) V Fortsetzung,, (Sk) (2.6) 
oe 
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Beim Sequenz-Arbitrator hängt die Fortsetzungs-Bedingung wiederum von 
seiner letzten Intention 0,_} und der in O darauffolgenden Option 0,_ +1 ab: 


Fortsetzung (sk) = Fortsetzung,, (Sx) V Startg, ,41(8K) (2.7) 


seq 


Es ist an dieser Stelle hervorzuheben, dass die Arbitratoren ihre Wahl also 
nicht situationsspezifisch, sondern rein auf Basis der abstrakten Start- und 
Fortsetzungs-Bedingungen der Verhaltensoptionen treffen. Gegeben einer 
Menge anwendbarer Optionen A, wählt ein Arbitrator seine Intention 0 
also ohne Beriicksichtigung der Situation s aus. Dadurch wird eine starke 
Entkopplung der Situationsinterpretation und der Auswahllogik erreicht. 
Erstere wird über die Start- und Fortsetzungs-Bedingungen ausschließlich 
in den Verhaltensbausteinen durchgefihrt und letztere vollstandig von den 
Arbitratoren übernommen. Damit bleiben die Arbitratoren anwendungsun- 
abhängig während die Verhaltensbausteine szenariospezifische Lösungen 
realisieren können. 


Um nun aus einfachen Verhaltensoptionen und überschaubaren Taktiken 
komplexe Strategien zu entwerfen, können Arbitratoren und Verhaltensbau- 
steine zu einem hierarchischen Graphen zusammengestellt werden. Hierzu 
gleichen Arbitratoren hinsichtlich ihrer Schnittstelle den Verhaltensbaustei- 
nen und können somit auch als solche interpretiert werden: Sie geben über 
ihre Start- und Fortsetzungs-Bedingungen an, ob sie in der aktuellen Situa- 
tion s anwendbar sind, und bilden diese über die Stellfunktion Aktion auf 
Stellgrößen u ab. Auf den Algorithmus 1 übertragen, entspricht die Aktion- 
Funktion eines Arbitrators der BesteAnwendbareAktion(s) Funktion in 
Zeile 1. Dies ermöglicht es, einen Arbitrator wiederum als Verhaltensoption 
eines anderen Arbitrators einzusetzen. 
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Zum Tor dribbeln 


ZS Angreifen 


Schießen 


Dem Ball nähern L} Angriff Strategie 


Patrouillieren 


Abbildung 2.6: Beispiel für einen hierarchischen Arbitrationsgraphen eines Angreifers im Ro- 
boterfußball. Aktuell nicht ausführbare Verhaltensoptionen sind grau hinterlegt, 
während die gewählte Option grün hervorgehoben ist. 


Abbildung 2.6 zeigt beispielhaft einen zweistufigen Arbitrationsgraphen für 
einen Angreifer im Roboterfußball. Im Fließtext werden Verhaltensbausteine 
mit Kursiver Schrift und Arbitratoren mit KAPITAL SCHRIFT gekennzeichnet. 
Die Taktik ANGREIFEN besteht aus den sequenziell geschalteten Verhaltensop- 
tionen Zum Tor Dribbeln und Schießen. Diese wird in der Gesamtstrategie des 
Angreifers (ANGRIFF STRATEGIE) mit höchster Priorität ausgeführt. Ist ein An- 
griff jedoch nicht möglich, soll sich der Angreifer Dem Ball Nähern oder, falls 
auch dies nicht möglich oder sinnvoll ist, an seiner Spielposition Patrouillieren. 


Viele Vorteile von Arbitrationsgraphen werden insbesondere im Entwurfs- 
prozess, der Wartung sowie der Weiterentwicklung einer darauf aufbauenden 
Verhaltensentscheidung deutlich. Zum einen können die Verhaltensbausteine 
dank der bereits erwähnten Entkopplung von Situationsinterpretation und 
Auswahllogik, voneinander unabhängig entworfen, entwickelt und getestet 
werden. Hierzu müssen lediglich die Start- und Fortsetzungs-Bedingungen 
spezifiziert und die Stellfunktion definiert werden. Erst in einem nachgelager- 
ten Schritt werden die vorhandenen Verhaltensbausteine unter Berücksich- 
tigung von anwendungsspezifischem Wissen mittels geeigneter Arbitratoren 
hierarchisch in einem Graphen angeordnet. Stellt sich zu einem späteren Zeit- 
punkt zudem heraus, dass noch weitere Verhaltensbausteine notwendig sind, 
können auch diese unabhängig entwickelt und in den Graphen eingefügt wer- 
den, ohne die bereits vorhandenen Bausteine anpassen zu müssen. Auch bei 
einer umfassenden Rekonfiguration des Graphen bleiben die Verhaltensbau- 
steine i.d.R. unberührt. 
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Der modulare Aufbau der Arbitrationsgraphen bildet zugleich eine optimale 
Grundlage, um Maßnahmen zur Robustifizierung und Absicherung des Aus- 
wahlprozesses umzusetzen. So wird die Arbitration in Abschnitt 4.2 um eine 
Verifikation der Stellgrößen und Rückfallebenen erweitert. Zudem könnten 
Metriken zum Systemzustand einbezogen werden, um auch bspw. im Fall von 
Sensorstörungen in defensiveres Verhalten zu wechseln [Tas17]. 


2.3 Trajektorienplanung 


Zweck der Trajektorienplanung ist es, ausgehend vom aktuellen Zustand, 
bspw. in Form eines geschätzten Umweltmodells, eine Trajektorie zu gene- 
rieren, die ein gewünschtes Verhalten bzw. Manöver realisiert. Dabei können 
Trajektorien in kontinuierlicher oder diskreter Form modelliert werden 
(Definitionen 2.1 und 2.2). 


Definition 2.1: Kontinuierliche Trajektorie 


Eine Trajektorie beschreibt den zeitlichen Verlauf eines Zustands x € R” über einen 
Zeithorizont t € [to, tp]: 


x(t) = Got ett A (2.8) 


Definition 2.2: Diskrete Trajektorie 


In der diskreten Darstellung, die u.a. in numerischen Verfahren zur Trajektorien- 


planung Anwendung findet, wird eine Trajektorie durch ihre N € No diskreten 
Stützpunkte beschrieben: 


x = D Ei el, le [0,N—1], TEN. (2.9) 


Beispiel 2.1: Trajektorie eines Fahrzeugs in 2D 


Eine Fahrzeugtrajektorie lasst sich in Kartesischen Koordinaten mittels Position 


(x,y) und Orientierung ¢ modellieren [Wer17]: 


x(t) = (x(t), y(t), HM)", i €[0,T] (2.10a) 
x9) = Capen). le [0,N—1], Lee (2.10b) 


2 Grundlagen 


Im automatisierten Fahren beschreiben Trajektorien i.d.R. die Kartesischen 
Koordinaten x, y eines Fahrzeuges sowie seine Orientierung ¢ (Beispiel 2.1). 


Da echtzeitfähige Methoden zur Trajektorienplanung zumeist nur lokale 
Lösungen liefern, wird häufig die Manöverentscheidung von der Trajektori- 
enplanung getrennt. Die Manöver- oder auch Verhaltensentscheidung wählt 
zunächst die erfolgversprechendste Homotopieklasse aus (siehe dazu auch 
[Ben15]) und bestimmt ggf. eine grobe zugehörige Referenztrajektorie. Beim 
automatisierten Fahren beschreibt eine solche Homotopieklasse bspw. ob 
und in welche Lücke ein Fahrstreifenwechsel vorgenommen werden soll. 


Zur Trajektorienplanung selbst bieten sich schließlich vielfältige Methoden 
an, darunter fallen u.a. Graphensuchverfahren, probabilistische Methoden, 
direkte Optimierung, Modellprädiktive Regelung sowie Ansätze des Maschi- 
nellen Lernens. Die Methoden arbeiten entweder direkt in Kartesischen Koor- 
dinaten oder den sog. Frenet-Koordinaten (Definition 2.3). Einige Ansätze pla- 
nen zudem zunächst die Querbewegung in Form eines Sollpfades und danach 
die Längsbewegung entlang dieses Pfades, während andere die Quer- und 
Längsplanung gemeinsam lösen (auch als 2D Trajektorienplanung bezeichnet). 


Definition 2.3: Trajektorie in Frenet Koordinaten 


Trajektorien können - z.B. zur entkoppelten Quer- und Längsplanung - in den sog. 
Frenet Koordinaten [Car16], also abhängig von der Bogenlänge s entlang einer Re- 
ferenzkurve mit Normalenvektor n,, angegeben werden [Wer10]: 


x(s(t),d(t)) = r(s(t)) + d(@)n,(s(t)), (2.11) 


wobeir den Lotfußpunkt entlang der Referenzkurve und d den orthogonalen Versatz 
dazu beschreibt. 


Im Folgenden werden nur die fiir diese Arbeit relevanten Methoden beschrie- 
ben. Für eine umfassende Übersicht zur Manöverentscheidung und Trajek- 
torienplanung sei u.a. auf [Pad16, Gon16, Wer17, Sch18, Kir21] verwiesen. 
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2.3.1 Pfadplanung 


Wird die Trajektorienplanung in eine Quer- und Längskomponente ent- 
koppelt, bestimmt die Pfadplanung dabei die Querführung des Fahrzeugs. 
Auch hierfür kommen vielfältige Verfahren infrage: Im Freiraum, wie bspw. 
Parkflächen, werden häufig Graphensuchverfahren mit kinematischen Bewe- 
gungsmodellen verwendet [Ban18], während in Szenarios mit Fahrstreifen 
u.a. Dynamische Programmierung [Wer10] oder auch Optimierung [Gut17] 
zum Einsatz kommt. Solange keine Hindernisse in den Fahrkorridor hinein- 
ragen, kann auch schlicht die Mittellinie eines Fahrstreifens - ggf. mittels 
Splines interpoliert - als Referenzpfad genutzt werden. 


Abbildung 2.7: Die Pfadplanung bestimmt die Querführung eines Fahrzeugs unter Berücksich- 
tigung der Fahrbahnbegrenzung und hineinragenden Hindernissen. Die Opti- 
mierungsachsen sind in Orange dargestellt, der geplante Pfad in Grün. 


Abbildung 2.7 veranschaulicht beispielhaft die Pfadplanung mittels Optimie- 
rung. Die gelben Querbalken bilden die Optimierungsvariablen ab, während 
in Blau der resultierende Pfad dargestellt ist. Hierbei wurde folgende, aus 
[Zie14a] inspirierte, Kostenfunktion verwendet (vgl. Gleichung (2.15)): 


N-1 


J (xı) = Kä Jbor(%1) + Jpos(*1) + Jen X) + jakı) T Jacur (X), (2.12) 
l=0 


wobei Ju das Überschreiten der Fahrstreifenbegrenzungen, Jpos die Abwei- 
chung zur Fahrstreifenmitte und jien die Lange des Pfades bestrafen. Durch die 
Einpreisung von jeur und Je werden zudem Krümmung und Krümmungs- 
änderung minimiert. 
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2.3.2 Intelligent Driver Model 


Das Intelligent Driver Model (IDM) [Tre00] ist ein mikroskopisches Ver- 
kehrsflussmodell, das das Langsverhalten von Fahrern bei der Folgefahrt 
beschreibt. Es kann, in Kombination mit einer vorgeschalteten Pfadplanung, 
als Folgefahrt-Regler oder gar zur Planung von Folgefahrt-Trajektorien 
verwendet werden: 


ds 

Sego = E = Vego (2.13a) 

du Vern \®  (d*(v...,Av)\” 
üa E lea Ale SE (2.13b) 

ego dt max Vaes d 
d= Sobj = Sego ~ loj (2.13c) 
Av= Vego — Vobj (2.13d) 
F Vego Av 
INA = dmin + Vego T + (2.13e) 
A max Homt 


wobei Vego und Do die Geschwindigkeit des Egofahrzeugs und Referenzob- 
jekts, d den Abstand, Av die Geschwindigkeitsdifferenz, Vdes» Amax UNd A.mr die 
Wunschgeschwindigkeit, Maximalbeschleunigung und komfortable Brems- 
beschleunigung, T den zeitlichen Wunschabstand (engl. „time headway“) und 
dnin den gewünschten Minimalabstand bezeichnet. Der Beschleunigungsex- 
ponent wird typischerweise auf 6 = 4 gesetzt. 


2.3.3 Nichtlineare Optimierung 
Bei der 2D-Trajektorienplanung mittels Nichtlinearer Optimierung wird ein, 


meist diskretes, nichtlineares Optimierungsproblem formuliert und mittels 
numerischer Methoden gelöst [Wer17]. Hierbei wird die Kostenfunktion J, 
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unter Berücksichtigung von m Ungleichungs- und q Gleichungsnebenbedin- 
gungen g und h, minimiert: 


J (x1), le [0,N —1] (2.14a) 
gx) = 0, geR” (2.14b) 
bc) < 0, he R4. (2.14c) 


Typische Kostenfunktionen umfassen die Abweichung zum Referenzpfad 
(bspw. die Fahrstreifenmitte) sowie der Sollgeschwindigkeit und bestrafen 
Beschleunigung, Ruck und Drehrate [Zie14a]: 


N-1 


J (x) = Kä Lä) + Jve (X) ER Jil + Tier XL) + Jiawr(X1).- (2.15) 
1=0 


Um eine erfolgreiche Optimierung zu ermöglichen, müssen die Kostenfunk- 
tionale mindestens einmal stetig differenzierbar sein. Die Kostenfunktionale 
zur Sollgeschwindigkeit, Beschleunigung, Ruck und Drehrate sind in diesem 
Fall sogar mehrfach stetig differenzierbar, was die Konvergenz weiter begüns- 
tigt. Damit auch der Abstand zu einem Polygon-basierten Referenzpfad mehr- 
fach differenzierbar ist, muss entweder der Pfad oder die Abstandsfunktion 
geeignet interpoliert werden. Erstere können bspw. mittels Splines und letz- 
tere mittels sog. Pseudodistanzfunktionen [Zie14a] interpoliert werden. 


2.4 Fehlertolerante Systeme 


Im automatisierten Fahren können neben Hardwarefehlern eine Vielzahl von 
Softwareproblemen die Leistungsfähigkeit der Automatisierung und somit 
auch die Fahrsicherheit gefährden. Zu den Ursachen zählen u.a. Program- 
mierfehler und Laufzeitfehler, wie Konvergenzprobleme einer Trajektori- 
enoptimierung. Auch unsichere Trajektorien können als Fehler begriffen 
werden. Daher ist es unerlässlich beim Entwurf der Verhaltensentscheidung 
Maßnahmen zur Fehlerdiagnose und -behandlung mit einzubeziehen. 
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Die Forschung im Bereich der zuverlässigen und fehlertoleranten Systeme 
[Ech90, Lap95, Dub13, Mon99, Kor20] entwickelt Maßnahmen zum Entwurf 
von Hard- oder Software-Systemen, die trotz potenzieller Störungs- und Feh- 
lerquellen eine möglichst hohe Zuverlässigkeit erreichen. Dabei können nach 
[Ech90] die Fehlerwahrscheinlichkeit, Uberlebenswahrscheinlichkeit, mittle- 
re Lebensdauer, Ausfallrate und Verfügbarkeit als Kenngrößen der Zuverläs- 
sigkeit dienen. 


Die Begriffe Störung, Fehler und Ausfall werden umgangssprachlich häufig 
synonym verwendet und finden sogar in der Literatur unterschiedliche 
teils widersprüchliche Verwendung. [Dub13, Lap95, Mon99] unterscheiden 
zwischen einer Störung (engl. „fault“), einem Fehler (engl. error“) und ei- 
nem Ausfall (engl. „failure“). Eine Störung führt erst bei Aktivierung der 
gestörten Komponente (z.B. durch einen Funktionsaufruf) zu einem Fehler 
(bspw. einem falschen Ergebnis). Wird ein Fehler erkannt, kann dieser ent- 
weder behandelt und behoben werden oder im schlimmsten Falle zu einem 
Funktions- oder Systemausfall führen. Das deutschsprachige Standardwerk 
von Echtle [Ech90] unterscheidet hingegen nicht zwischen Störungen und 
Fehlern, sondern spricht stattdessen von Fehlzuständen, die sich auf eine 
„Verletzung der inneren Spezifikation“ beziehen, während der Begriff Funk- 
tionsausfall die „Verletzung der äußeren Spezifikation“ beschreibt. Auch 
[Kor20] definiert den Funktionsausfall als Manifestation eines Fehlzustands, 
verwendet für den Fehlzustand allerdings die engl. Begriffe fault und failure 
synonym und bezeichnet den Funktionsausfall als error. Auch wenn die 
Unterscheidung zwischen einem Fehler und seiner Ursache (der Störung) 
sinnvoll erscheint und eine Diagnose zu präzisieren hilft, ist eine konsistente 
Übersetzung aller engl. domänenspezifischen Fachbegriffe wie in [Ech90] 
vorrangig. Daher werden im weiteren Verlauf dieser Arbeit die Definitionen 
nach [Ech90] verwendet. 


Die Maßnahmen zur Steigerung der Zuverlässigkeit lassen sich in Fehler- 
vermeidung, -beseitigung, -toleranz und -vorhersage kategorisieren [Dub13]. 
Methoden zur Fehlervermeidung und -beseitigung setzen in der Entwurfs- 
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und Entwicklungsphase an und setzen u.a. auf Qualitatskontrolle und Veri- 
fikation (vgl. Abschnitt 2.5.1). Der Bereich der Fehlertoleranz beschreibt An- 
sätze, mit denen Fehlzustände im Betrieb festgestellt und Funktionsausfälle 
verhindert werden können. Die Fehlervorhersage beschäftigt sich schließlich 
damit, im laufenden Betrieb die Anzahl fehlerhafter Komponenten zu schät- 
zen und somit bevorstehende Ausfälle vorherzusagen. 


5 
f(x) = x? 
x f(x) 
f(x) = x” f(x) = x —~ vote 
ke 
f(x) = x? 
(a) Die Fehlerbehebung (b) Die Fehleraus- (c) Die Fehlerkompensierung stellt ein fehler- 
stellt einen fehlerfrei- grenzung beseitigt freies Ergebnis her. 
en Zustand her. fehlerhafte Kompo- 


nenten. 


Abbildung 2.8: Maßnahmen zur Fehlerbehandlung. 


Neben der Fehlervermeidung ist die Fehlertoleranz eine der wichtigsten Säu- 
len zuverlässiger Systeme und steht daher in der Literatur besonders im Fo- 
kus. Zur Fehlertoleranz gehört die Fehlerdiagnose — welche es ermöglicht ei- 
nen vorhandenen Fehlzustand zu erfassen - und die Fehlerbehandlung - die 
den Fehlzustand behebt, kompensiert oder ausgrenzt. Abbildung 2.8 stellt die 
Methoden zur Fehlerbehandlung dar: Für die Fehlerbehebung wird die fehler- 
hafte Komponente wieder in einen fehlerfreien Zustand (zurück-)gesetzt (z.B. 
über eine Zustandshistorie). Als Fehlerkompensierung bezeichnet man hin- 
gegen das Berechnen eines fehlerfreien Ergebnisses, trotz fehlerhafter Kom- 
ponente (bspw. über Redundanz und Diversität). Die Fehlerausgrenzung ent- 
fernt schließlich die fehlerhafte Komponente als letzte drastische Maßnahme 
dauerhaft aus dem System (engl. auch „reconfiguration“). Abbildung 2.9 fasst 
die Maßnahmen, die in zuverlässigen Systemen zum Einsatz kommen, struk- 
turiert zusammen. 
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Abbildung 2.9: Maßnahmenkategorien zur Entwicklung fehlertoleranter Systeme, in Anleh- 
nung an [Ech90]. 


2.5 Verkehrssicherheit 


Der zunächst weitgefasste Begriff Verkehrssicherheit beschreibt „die Abwe- 
senheit von unvertretbaren Risiken bei der Ortsveränderung von Objekten 
(z.B. Güter, Personen, Nachrichten) in einem definierten (Verkehrs-)System“ 
[Dre09]. Für den Kontext des automatisierten Fahrens ist dabei die spezifi- 
schere Verkehrsmittelsicherheit, also die Abwesenheit von unvertretbaren Ri- 
siken und Gefahren bezogen auf die Verkehrsmittel, von Bedeutung. Diese 
umfasst sowohl aktive unfallvermeidende Maßnahmen, sowie passive Unfall- 
folgen mindernde Maßnahmen. 


Dieser Abschnitt 2.5 greift zwei für diese Arbeit relevanten Themenfelder der 
aktiven unfallvermeidenden Maßnahmen auf: Die Sicherheitsanalyse in Ab- 
schnitt 2.5.1 wird zur Fehlervermeidung beim Systementwurf eingesetzt, wäh- 
rend die Verhaltensverifikation aus Abschnitt 2.5.2 der Fehlererkennung und 
-behandlung zur Laufzeit dient. 
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2.5.1 Sicherheitsanalyse 


Das Feld der Sicherheitsanalyse insgesamt, sowie die darunter fallende Zuver- 
lassigkeitsanalyse im Besonderen, haben viele in der Automobilbranche eta- 
blierte Methoden und Standards hervorgebracht. Die IS026262 [ISO18] erläu- 
tert bspw. wie mittels einer Gefahrdungsanalyse und Risikoabschätzung die 
funktionale Sicherheit sicherheitsrelevanter elektrischer/elektronischer Sys- 
teme im Kraftfahrzeug (KFZ) gewährleistet werden kann (siehe auch [Ros16)]). 
Die Methoden der sog. „Safety of the Intended Functionality“ (SOTIF) erwei- 
tern die IS026262 um die Bereiche Umfeldwahrnehmung, Mensch-Maschine- 
Schnittstelle (HMI) und erwartbare Fehlnutzung durch den Anwender. De- 
duktive Methoden, wie die Fehlzustandsbaumanalyse (FTA) [DIN07], identi- 
fizieren kausale Ketten zwischen Gefahren und deren Ursachen, um die Wahr- 
scheinlichkeit festgelegter (i. d. R. kritischer) Ereignisse zu bestimmen. Induk- 
tive Methoden, wie die Fehlzustandsart- und -auswirkungsanalyse (FMEA) 
[DIN06], werden genutzt, um mögliche Produktfehler bereits während des 
Systementwurfs zu erkennen und ihr Risiko zu bewerten. 


Insgesamt sind diese Methoden und Standards allerdings nicht ausreichend, 
um die Sicherheit von hoch- oder voll-automatisierten Fahrzeugen zu gewähr- 
leisten [Way20b]. Daher ist die Sicherheitsanalyse automatisierter Fahrzeuge 
noch ein aktives Forschungsfeld [Mer18, Apt19, Sch20, Way20a, Way20b] aus 
dem zurzeit viele neue Leitlinien und Normen entstehen [NHT17, SAE21, 
SAE20, BSI20a, BSI20b, ISO21]. Eine gute und umfangreiche Zusammen- 
fassung über diese Publikationen verschafft [Way20b]. Im Folgenden sollen 
die für diese Arbeit wichtigsten Begriffe und Konzepte, in Anlehnung an 
[Way20b] und [NHT17], zusammengefasst werden. 


Operational Design Domain 
Um u.a. einen Szenarienkatalog zur Szenarien-basierten Validierung (siehe 


späteren Abschnitt zu Systemsicherheit und Validierung) und weitere Sicher- 
heitsanforderungen an ein automatisiertes Fahrzeug herzuleiten, wurde das 
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Konzept der Operational Design Domain (ODD), das in Definition 2.4 erlau- 
tert wird, eingeführt. 


Definition 2.4: Operational Design Domain [SAE21] 


Die ODD eines gegebenen Fahrerassistenzsystems oder einer seiner Teilfunktionen 
legt die Betriebsbedingungen fest, für welche diese Funktion ausgelegt ist. 

Diese schließen unter anderem Anforderungen an die Szenerie (z. B. bestimmte er- 
forderliche Verkehrs- oder Fahrbahnmerkmale) sowie an die dynamischen Elemente 
der Szene (wie Verkehrsdichte oder Anwesenheit von vulnerable Verkehrsteilneh- 


mer (VRUs)) und Umweltbedingungen (u. a. Wetter oder GPS-Empfang) ein. 


Eine ausführliche Auflistung und Spezifikation möglicher ODD Elemente lie- 
fern unter anderem die British Standards Institution [BSI20b] und das Auto- 
mated Vehicle Safety Consortium™[SAE20]. Im Folgenden soll daraus eine 
mögliche Kategorisierung zusammengefasst werden. 


Die unterstützten Szenerien werden unter anderem beschrieben durch 


e geografisch oder rechtlich festgelegte Zonen wie Stadtbezirke, 


e befahrbare Flächen und Straßentypen wie Parkflächen oder 
Autobahnen, 


e Kreuzungsarten und -infrastruktur wie dreiarmige Knotenpunkte mit 
Lichtsignalanlage, 


+ besondere Infrastruktur wie Mautschranken oder Tunnel, 
e Fahrbahnelemente wie Leitpfosten und 


e vorübergehende Straßenbauten wie Baustellen. 
Zur Beschreibung dynamischer Elemente einer ODD zählt 


+ die Verkehrsdichte, 
° Art und Zustand anderer Verkehrsteilnehmer und 


e der Zustand des Ego-Fahrzeugs (z.B. seine Geschwindigkeit). 


Die Umweltbedingungen, ftir die die Assistenzfunktion ausgelegt ist, werden 
im Wesentlichen definiert durch 


e Wetterbedingungen wie Schneefall oder Regen, 


36 


2.5 Verkehrssicherheit 


e Betriebszeiten wie zur Tageszeit oder nachts, 
e die Signalqualität von Satellitennavigationssystemen wie GPS und 


e die Verfügbarkeit von Datennetzen wie zum Beispiel V2X'-Mobilfunk. 


Verhaltenskompetenzen 


Von der National Highway Traffic Safety Administration (NHTSA) wurden 
28 grundlegende Verhaltenskompetenzen, wie sie für die Szenarien-basierte 
Validierung verwendet werden können, vorgeschlagen und von Waymo auf 
insgesamt 47 Stück erweitert [Way20a]. Darunter fallen sowohl ganze Fahr- 
manöver wie die Folgefahrt oder Fahrstreifenwechsel als auch Teilaufgaben, 
wie das Einhalten der zugelassenen Maximalgeschwindigkeit oder Fällen 
korrekter Vorfahrtsentscheidungen. Häufig sind diese Verhaltenskompeten- 
zen an Wahrnehmungsaufgaben gekoppelt und als „Erkenne und reagiere 
angemessen“-Anweisung formuliert, bspw. „Erkenne und reagiere auf ein 
einscherendes Objekt“. Die detaillierte Auflistung der Verhaltenskompeten- 
zen aus [Way20a] kann Anhang A entnommen werden. 


Fehlererkennung und Reaktion 


Ein automatisiertes System muss sich stets überwachen und in der Lage sein, 
rechtzeitig Fehlfunktionen und degradierte Zustände in der Hardware oder 
den automatisierten Fahrfunktionen [Tas17], sowie das Verlassen der ODDs 
(z.B. durch sich ändernde Wetterbedingungen) zu erkennen. Handelt es sich 
um eine unkritische Störung, kann das Fahrzeug ggf. in einem degradierten 
Modus, also bspw. bei reduzierter Geschwindigkeit, die Fahrt fortsetzen. Bei 
schwerwiegenderen Fehlern muss das System in einen risikominimalen Zu- 
stand (MRC), wie in Definition 2.5 aus dem „Gesetz zum autonomen Fah- 
ren“ [Bun21] festgelegt, überführt werden. Je nach Schwere des Fehlers wird 
hierfür entweder in der Hardware- oder Verhaltens-Ebene eine angemessene 


* V2X umfasst Fahrzeug-Fahrzeug-Kommunikation (V2V), Fahrzeug-Infrastruktur-Kommunika- 
tion (V2I) und Kommunikation zur Flottenverwaltung (V2F). 
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Reaktion bewirkt. Bei weniger schwerwiegenden Funktionsstörungen kann 
die Verhaltens-Ebene ein sog. risikominimierendes Manöver durchführen, das 
das Fahrzeug bspw. auf einem Standstreifen zum Stillstand bringt. Bei einem 
schwerwiegenden Systemausfall, der auch die Verhaltens-Ebene betrifft, be- 
tätigt die Hardware-Ebene eine Notbremsung. 


Definition 2.5: Risikominimaler Zustand [Bun21] 


Ein risikominimaler Zustand (MRC) ist ein Zustand, in den sich das Kraftfahrzeug 
mit autonomer Fahrfunktion auf eigene Veranlassung oder auf Veranlassung der 
technischen Aufsicht selbständig versetzt, um unter angemessener Beachtung der 
Verkehrssituation die größtmögliche Verkehrssicherheit für andere Verkehrsteilneh- 


mende und Dritte zu gewährleisten. 


Definition 2.6: Risikominimierendes Manöver [Apt19] 


Ein risikominimierendes Manöver (MRM) ist ein Manöver, das das Fahrzeug in einen 
MRC überführt. 


In [Apt19], einer gemeinsamen Publikation zahlreicher Automobilhersteller 
und -zulieferer, darunter Audi, BMW, Daimler, VW, Intel und Here, werden 
mögliche MRCs und MRMs vorgestellt: 


Beispiel 2.2: Risikominimale Zustände aus [Apt19] 


Je nach Fehlerschwere und ob ein Fahrzeugführer anwesend ist, kommen verschie- 
dene MRCs infrage. 


Übernahme durch Fahrzeugführer Der Fahrzeugführer hat die Fahraufgabe vollstan- 
dig übernommen. 


Eingeschränkter Betrieb Fahrzeug ist noch innerhalb der eingeschränkten Fahrfunk- 
tionen betriebsbereit. Je nach Funktionsdefinition und verbleibenden Fähig- 
keiten kann es mehrere eingeschränkte Betriebszustände geben. 


Betrieb einstellen Diese Bedingung beschreibt einen Fahrzeugzustand, der eine si- 


chere Abschaltung der Funktion ermöglicht. 


2.5 Verkehrssicherheit 


Beispiel 2.3: Risikominimierende Manöver aus [Apt19] 


Je nach angestrebten MRC kommen verschiedene MRMs infrage, die sich insbeson- 
dere bzgl. Komfort- und Funktionseinschränkung unterscheiden. 


Aufforderung zur Übernahme Übernahme durch den Fahrzeugführer anfordern. 


Funktionsumfang einschränken Überleiten in den eingeschränkten Betrieb. Je nach 
MRC und dem aktuellen Zustand sind mehrere MRM-Varianten möglich. 


Komfortabler Halt Komfortabler Übergang zum Ende des Betriebs 


Sicherer Halt Bei schwerwiegenden Ausfällen ist ein schneller, aber sicherer Über- 
gang zum Betriebsende erforderlich. 


Nothalt Bei hinreichend seltenen schweren Systemausfällen wird ein Notstopp ein- 


geleitet, um das Risiko zu minimieren und den Betrieb einstellen zu können. 


Systemsicherheit und Validierung 


Um die Sicherheit des Gesamtsystems, also eines im öffentlichen Straßenver- 
kehr agierenden hoch- oder voll-automatisierten Fahrzeuges, zu gewährleis- 
ten, müssen adäquate Methoden der Sicherheitsanalyse in den Entwicklungs- 
prozess integriert werden, währenddessen laufend die Risiken analysiert und 
auch im Betrieb überwacht werden. Waymo unterscheidet dabei drei Ebenen 
[Way20b] (Abb. 2.10): Die Hardware-Ebene umfasst das physische Fahrzeug, 
die Sensorik, die Aktorik, die Rechenplattform sowie die Cybersicherheit. Die- 
se können wie bisher mit den klassischen Methoden, u.a. FMEA, FTA, usw. 
verifiziert und validiert werden. 


Die Verhaltens-Ebene schließt die Trajektorien- und Verhaltensplanung ein. 
Aufgrund der Interaktion mit anderen Verkehrsteilnehmern und ihrem teils 
nicht-deterministischen Verhalten sind die klassischen Methoden der Sicher- 
heitsanalyse in dieser Ebene nicht ausreichend, sodass ein dreiteiliger Ansatz 
gewählt wurde: 
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Abbildung 2.10: Die Sicherheitsstrategie von Waymo gliedert sich in drei Ebenen [Way20b]. 
Copyright © 2020 Waymo LLC 


Zusätzlich zur Gefahrenanalyse mittels FTA, FMEA und einer systemtheore- 
tischen Prozessanalyse wird eine Szenario-basierte Verifikation mithilfe eines 
ständig zu erweiternden Szenarienkatalogs durchgeführt. Dieser Katalog soll 
sowohl grundlegende Verhaltenskompetenzen, aufbauend auf den Empfeh- 
lungen der US-amerikanischen NHTSA, sowie erwartbare kritische Szenarien 
abdecken. Zudem soll der Katalog das gesamte Spektrum der ODDs abdecken. 


Schließlich werden neue Softwareversionen in einer sog. simulierten Bereit- 
stellung (engl. „Simulated Deployments“) getestet. Diese bestehen einerseits 
aus Simulationen, die die Software auf umfangreich aufgezeichneten Daten 
neu auswerten. Bei immer mehr Realfahrten aus der semi-automatisierten 
Flotte und damit immer größeren Realdatensätzen ist dieser Ansatz sehr gut 
skalierbar. Andererseits wird ein solcher Softwarestand auf Fahrzeugen mit 
Sicherheitsfahrern auch im Realversuch getestet. Sollten die Fahrer eingrei- 
fen, werden diese manuell gesteuerten Abschnitte nochmals in Simulation 
überprüft. Hiermit sollen die in der Daten-basierten Evaluation attestierten 
Verbesserungen an Glaubwürdigkeit gewinnen. 
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Sowohl in der Szenario-basierten Verifikation als auch der simulierten Bereit- 
stellung wird die Sicherheit des Systems anhand folgender Metriken bemes- 
sen: 


Unfallvermeidung Die in Simulation geschätzte Unfallrate des automati- 
sierten Fahrzeugs wird u. a. mit Unfallraten des Menschen verglichen. 


Abschluss automatisierter Fahrten Die Anzahl erfolgreich abgeschlosse- 
ner Fahrten im automatisierten Modus gibt Aufschluss über die Leis- 
tungsfahigkeit des Gesamtsystems. 


Einhalten von Verkehrsregeln Schließlich sollte das Fahrzeug auch die 
gesetzlich vorgeschriebenen oder gesellschaftlich etablierten Verkehrs- 
regeln einhalten, um Gefahrensituationen zu vermeiden. 


Die dritte Ebene adressiert schließlich den Betrieb einer ganzen Flotte auto- 
matisierter Fahrzeuge und den damit verbundenen Sicherheitsfragen. Mittels 
Methoden des Risikomanagements soll das Gesamtrisiko des Flottenbetriebs 
eingedämmt werden. Außerdem wird klar geregelt, welche Daten bei einem 
Unfall aufgezeichnet und gesichert werden müssen und wie der Betreiber 
nach dem Unfall handeln wird, z.B. wie er mit den zuständlichen örtlichen 
Behörden in Kontakt treten wird. 


2.5.2 Verhaltensverifikation 


Das Problem der Risikoanalyse automatisierter Fahrzeuge, insbesondere im 
Hinblick auf die Sicherheit eines geplanten Verhaltens, wird umfangreich er- 
forscht. [Lef14] bietet einen umfassenden Überblick über das Forschungsfeld. 


Die meisten der vorgestellten Methoden versuchen allerdings, das Risiko 
über Verhaltensmodelle abzuschätzen. Hierzu entwickeln sie Verhaltensmo- 
delle für die verschiedenen Verkehrsteilnehmer, prädizieren die Szene unter 
Annahme dieser Modelle und prüfen schließlich die geplante Trajektorie auf 
Kollisionen oder versuchen Abweichungen von den Modellen zu erkennen. In 
jedem Fall gehen solche Risikobewertungsansätze davon aus, dass alle mögli- 
chen Manöver in einem bestimmten Szenario modelliert werden können oder 
dass unerwartete Situationen zuverlässig erkannt werden können. Darüber 
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hinaus wird in vielen Fallen die Unvollständigkeit eines Umgebungsmodells 
überhaupt nicht berücksichtigt. 


Risikoanalyse und Manöverplanung unter Unsicherheiten 


In letzter Zeit hat das Thema verdeckungsbewusste Risikobewertung und 
Verhaltensgenerierung an Aufmerksamkeit gewonnen [Hoe17, Lee17, Chu09, 
Bre14, Isa08, Sad04, Boul4, Zhal6, Tas18a]. Die präsentierten Ansätze rei- 
chen von einfachen Sichtbarkeitsmodellierungen [Isa08], die das Tracking 
von zuvor erkannten Hindernissen verbessert, bis hin zu komplexen mehr- 
schichtigen Umgebungsmodellen [Hoe17]. 


Einige von ihnen berücksichtigen explizit Unsicherheiten [Zha16, Hoe17, 
Bre14, Tas18a], während andere die Sichtbarkeitsanalyse nutzen, um Ge- 
schwindigkeitsbeschränkungen für die Trajektorienplanung zu definie- 
ren [Chu09, Lee17, Tas18a]. Nur drei dieser Veröffentlichungen weisen 
wenigstens passive Bewegungssicherheit (Definition 2.7) nach [Bou14, 
Tas18a] oder beweisen Kollisionsfreiheit für diskrete Zeitschritte ihrer 
Trajektorien [Zha16]. 


Definition 2.7: Passive Bewegungssicherheit [Mac09] 


Ein Zustand x des mobilen Robotersystems r ist genau dann sicher im Sinne der 
passiven Bewegungssicherheit, wenn mindestens ein Bremsmanöver existiert, das 
bei x beginnt und bis Tp kollisionsfrei ist, wobei Tp genau die Zeit ist, in der r im 
Stillstand ist. Folglich kollidiert niemals der Roboter selbst in ein anderes Objekt, 


sondern höchstens umgekehrt. 


Ein interessanter Ansatz wird in [Hoe17] vorgestellt. Die Autoren modellieren 
und prädizieren die Umgebung in einer dreischichtigen Grid-Map: Objekt- 
basierte, objektfreie und unbeobachtbare Umgebung. Während der Planung 
betrachten sie eine Zelle als belegt, sobald eine der drei Schichten als belegt 
vorhergesagt wird. 


Dennoch minimieren diese Methoden allenfalls das Risiko von Kollisio- 
nen [Bre14, Chu09, Hoe17, Lee17] und bieten keine oder zu geringe Si- 
cherheitsgarantien [Boul4, Zha16]. Einige der ersten Ansätze weisen sogar 
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grundsätzliche Probleme auf, wie z.B. dass noch nicht beobachtete Hin- 
dernisse ignoriert werden [Isa08], dass verdeckte Bereiche ohne Prädiktion 
berücksichtigt werden [Sad04] oder dass ausschließlich Verdeckungen durch 
statische Hindernisse untersucht werden [Chu09]. Fahrzeuge mit solchen 
Verfahren der Risikoanalyse werden folglich der geplanten Trajektorie fol- 
gen, solange sie kein nennenswertes Risiko erkennen. Dies kann - aufgrund 
der unzureichenden Berücksichtigung von Unsicherheiten - jedoch zu Si- 
tuationen führen, in denen eine Kollision unvermeidlich ist. Daher müssen 
auch solche Methoden, bspw. durch Einbindung in Arbitrationsgraphen 
mit Verifikationslogik (siehe folgenden Teilabschnitt und Abschnitt 4.2), 
abgesichert werden. 


Verhaltensverifikation mittels Erreichbare-Mengen-Analyse 


Um diese Herausforderungen zu lösen, schlagen Althoff u.a. [Alt16] ein Ver- 
fahren zur Verhaltensverifikation mittels Erreichbare-Mengen-Analyse vor, 
das die Sicherheit einer geplanten Trajektorie unter klar spezifizierten An- 
nahmen beweisen kann. Orzechowski u.a. [Orz18] erweitern die Methode, 
um auch Verdeckungen und begrenzte Sensorreichweite bzw. -abdeckung zu 
berücksichtigen. Im Kern basiert die Methode zum einen darauf, zusätzlich 
zur Soll-Trajektorie eine Fail-Safe-Trajektorie zu planen, die das Fahrzeug in 
einen sicheren Zustand überführt und der Verifikation standhalten soll. Zum 
anderen werden alle möglichen Verhalten anderer Verkehrsteilnehmer mit ei- 
ner Worst-Case-Belegung überapproximiert. Überlappt die Belegung der ge- 
planten Fail-Safe-Trajektorie schließlich mit keiner der prädizierten Worst- 
Case-Belegungen, führt die Fail-Safe-Trajektorie das Fahrzeug in jedem Fall 
kollisionsfrei in einen sicheren Zustand und ist somit - unter den Annahmen 
des Verfahrens - beweisbar sicher. Abbildung 2.11 veranschaulicht den Ab- 
gleich der Belegungen einer geplanten Ego-Trajektorie mit den Worst-Case- 
Belegungen eines entgegenkommenden Fahrzeugs. Der Prädiktionshorizont 
wurde dabei in drei Zeitintervalle unterteilt. 
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Abbildung 2.11: Belegungen einer geplanten Ego-Trajektorie sowie prädizierte Worst-Case- 
Belegungen eines entgegenkommenden Fahrzeugs, allerdings ohne Berück- 
sichtigung von Verdeckungen oder begrenzter Sensorreichweite, nach [Alt16]. 


Solange also für eine geplante Soll-Trajektorie eine beweisbar sichere Fail- 
Safe-Trajektorie gefunden werden kann, auf die im Zweifel im folgenden 
Planungsintervall ausgewichen werden kann, kann auch die Soll-Trajektorie 
selbst im aktuellen Planungsintervall sicher ausgeführt werden. Andernfalls 
muss auf die im vorigen Intervall verifizierte Fail-Safe-Trajektorie zurück- 
gegriffen werden. Abbildung 2.12 fasst den daraus resultierenden Prozess 
der Verhaltensgenerierung im Zusammenspiel mit einer Verifikation mittels 
Erreichbare-Mengen-Analyse zusammen. 
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Abbildung 2.12: Ablauf einer Verhaltensverifikation mit der Erreichbare-Mengen-Analyse, 
nach [Alt16]. 


Mittelpunkt der Methode ist folglich die Prädiktion der Worst-Case- 
Belegungen anderer Verkehrsteilnehmer. Gegeben sei hierzu das dynamische 
System X = f(x(t),u(t)) mit Zustand x, Eingangsgröße u und Zeit t. Dann 
beschreibt das Tupel M = (f, Xo, U), wobei x(0) E X, und u E U, ein 
Modell dieses Systems. Als Erreichbare-Menge bezeichnet man schließlich 
alle gemäß M möglichen zukünftigen Zustände zum Zeitpunkt t = r: 


R(M,r)= fat), u(t) dt | x(0) E Xo, Vt : w(t) E U$. (2.16) 
0 
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Eine exakte Prädiktion der Erreichbaren-Menge eines Verkehrsteilnehmers 
ist u.a. aufgrund der nicht-linearen hybriden' Dynamik nicht effizient 
möglich. Andererseits ist zur Kollisionsvermeidung ohnehin hauptsächlich 
relevant welchen Raum die Verkehrsteilnehmer belegen könnten. Daher 
werden einerseits nur Belegungen prädiziert und diese andererseits effizient 
überapproximiert. 


Formal betrachtet bildet die Belegung B(t) eine Projektion der Erreichbaren- 
Menge auf einen Unterraum proj(x) = [x,y,¢]', mit der Position x,y und 
Orientierung ¢, ab: 


B(t) = proj(R(M,t)) = {proj(x) | x E ROM, t)}. (2.17) 


Diese, auch Worst-Case-Belegungen genannten, Projektionen werden nicht 
nur zu diskreten Zeitpunkten, sondern für konsekutive Zeitintervalle 75; = 
Ip, & 1] mit Zeithorizont tp bestimmt. Zudem werden sie nicht exakt berech- 
net, sondern näherungsweise mit Modellen M; überapproximiert: Vt > 0 : 
R(M, t) C R(M;,t). Werden schließlich m unterschiedliche Modelle mitein- 
ander kombiniert, nähert sich die Schnittmenge ihrer Überapproximationen 
der realen Belegung des Modells Mo an: 


Vt > 0 : proj(R(Mo,t)) € [| proj(R(M;, ©). (2.18) 


i=1 


Somit kann die mögliche Belegung mit mehreren effizienten Uberapproxi- 
mationen hinreichend gut angenähert werden. Aus dieser Motivation heraus 
wurden in [Alt16] zwei Modelle vorgestellt: die sog. Beschleunigungs-basierte 
Belegung M; und die sog. Fahrstreifen-basierte Belegung M3. 


* resultierend aus der kontinuierlichen Fahrdynamik sowie diskreten Verkehrsregeln und 


Homotopieklassen 
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Beiden Modellen liegenden folgende Annahmen zugrunde: 


1 Die positive Langsbeschleunigung wird beendet, sobald eine 
festgelegte Geschwindigkeit Vmax erreicht ist. 


2 Ab einer Geschwindigkeit vs ist die positive Längsbeschleunigung 
umgekehrt proportional zur Geschwindigkeit.' 


3 In einem Fahrstreifen ist Rückwärtsfahren nicht zugelassen. 
4 Die absolute Beschleunigung ist begrenzt durch a,,,,. 


5 Es ist untersagt, die Fahrstreifen, Geh-, Rad- und Überwege zu 
verlassen. Das Kreuzen von Fahrstreifen ist erlaubt, solange es nicht 
durch Fahrbahnmarkierungen oder Verkehrsregeln verboten ist. 


M, prädiziert die Belegungen unter Verwendung eines Punktmassemodells 
und des Kamm’schen Kreises, womit die Annahmen 3 und 4 berücksichtigt 
werden. M, wiederum addressiert explizit das Längsverhalten innerhalb der 
Fahrstreifengeometrien, womit die Annahmen 1, 2 und 5 die Längskompo- 
nente von Annahme 4 einbezogen werden. Abbildung 2.13 veranschaulicht 
die resultierende Worst-Case-Belegung in einer Beispielsituation. 


Dies soll eine begrenzte Motorleistung modellieren. 
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(c) Resultierende Gesamtbelegung fiir den ganzen Pradiktionshorizont. 


Abbildung 2.13: Worst-Case-Pradiktionen méglicher Belegungen des beobachteten Fahrzeugs. 
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automatisierte Fahrzeuge 


Dieses sowie das nächste Kapitel beschreiben den Kern der vorliegenden Ar- 
beit: ein Verfahren zur sicheren und fehlertoleranten Verhaltensentscheidung 
für automatisierte Fahrzeuge. Hierzu wird die Methode der Verhaltensar- 
bitration (Abschnitt 2.2.4) in diesem Kapitel auf das automatisierte Fahren 
übertragen. In Kapitel 4 wird es um ein Sicherheitskonzept auf Basis der 
Erreichbaren-Mengen-Analyse (Abschnitt 2.5.2) sowie Maßnahmen zum 
Entwurf fehlertoleranter Systeme (Abschnitt 2.4) erweitert. Somit garantiert 
das Verfahren nicht nur, dass ausschließlich aktuell sinnvolle und physika- 
lisch realisierbare Aktionen gewählt werden können, sondern auch, dass das 
System dabei stets — unter den gegebenen Annahmen - in einem sicheren 
Zustand bleibt. 


Zu Beginn wird in Abschnitt 3.1 das Umweltmodell beschrieben, auf dessen 
Grundlage die Verhaltensbausteine in Abschnitt 3.2 zum einen ihre Anwend- 
barkeit überprüfen und zum anderen die eigentliche Verhaltensplanung rea- 
lisieren. Abschnitt 3.3 erläutert wie die Arbitratoren aus Abschnitt 2.2.4 nun 
zusätzlich zu den Start- und Fortsetzungs-Bedingungen die Realisierbarkeit 
und Sicherheit der Verhaltensoptionen prüfen. 


3.1 Umweltmodell 


Ein Umweltmodell beschreibt im Allgemeinen die aktuelle Situation, wo- 
bei diese aus einer interpretierten „Momentaufnahme des [statischen und 
dynamischen] Umfelds“ sowie den „relevanten Zielen und Werten“ besteht 
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[Ulb15]. Somit vereint das Umweltmodell die für die Verhaltensplanung 
relevanten Eingangsdaten und Parameter. 


Im Folgenden wird das in dieser Arbeit verwendete Umweltmodell fiir auto- 
matisiertes Fahren vorgestellt. Dabei ist hervorzuheben, dass ein weitgehend 
allgemeines und übertragbares Modell beschrieben wird, allerdings auch an- 
dere, ggf. Sensor-nahe Repräsentationen, denkbar wären, um bspw. noch viel- 
fältigere Verhalten zu ermöglichen. 


Den statischen Teil der Umfeldrepräsentation bildet insbesondere eine hoch- 
genaue Planungskarte [Pog18] ab, die die Fahrstreifengeometrien samt Topo- 
logie, Fuß- und Radwege, Fußgängerüberwege, Verkehrszeichen, Lichtsignal- 
anlagen, befahrbare Flächen, Parkflächen und Verkehrsregeln umfasst. Dabei 
werden Fahrstreifen in atomare Segmente, sog. Lanelets, unterteilt, innerhalb 
derer einheitliche Verkehrsregeln gelten. Darauf aufbauend gibt schließlich 
der Fahrstreifengraph Auskunft darüber, in welcher Relation die Lanelets zu- 
einander stehen und welche Verkehrsregeln dabei gelten. Ein externes Rou- 
tenplanungsmodul bestimmt außerdem die vorgesehene Route innerhalb die- 
ser Lanelet Karte und stellt diese in Form von Zwischenzielen bereit. Somit 
ist die Route hinreichend festgelegt, ohne die Wahl der Fahrstreifen vorweg- 
zunehmen. 


Zu den dynamischen Elementen des Umweltmodells zählt zunächst eine Ei- 
genbewegungsschätzung und Lokalisierung. Sie bestimmt die Pose (Position 
und Orientierung) und Geschwindigkeit des sogenannten Ego-Fahrzeugs 
beispielsweise durch Kalman-Filterung einer bildbasierten Lokalisierung 
[Son17], der geschätzten GPS-Position und der Rad-Odometrie. Um ein si- 
cheres Verhalten im Straßenverkehr zu ermöglichen ist zudem eine genaue 
und robuste Erkennung und -verfolgung anderer Verkehrsteilnehmer und 
Hindernisse unumgänglich. Diese beruht in der Regel auf Kamera- [Fra13, 
Sal20], Radar- [Dic15] und/oder LIDAR-Sensorik [Ste20, Ric19] und liefert 
Pose, Dimension, Geschwindigkeit sowie Semantik statischer und dyna- 
mischer Objekte. Die semantischen Klassen umfassen beispielsweise KFZs, 
wie Personenkraftwagen (PKWs) und Lastkraftwagen (LKWs), Fahrzeu- 
ge des öffentlichen Personennahverkehrs, wie Busse und Straßenbahnen, 
VRUs, wie Motorradfahrer, Fahrradfahrer, Elektrokleinstfahrzeuge (EKFs) 
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und Fußgänger, aber auch Einsatzfahrzeuge der Polizei und Rettungskräf- 
te. Das Prädiktionsmodul liefert darauf aufbauend eine Vorhersage über 
den wahrscheinlichsten Verlauf der Objektbewegungen [Pet13] sowie die 
mittels Erreichbarer-Mengen-Analyse bestimmten Worst-Case-Belegungen 
(Abschnitt 2.5.2). Außerdem werden die Wahrnehmungsgrenzen durch 
zwei-dimensionale Polygone angegeben, um in der Verhaltensplanung auch 
Verdeckungen und begrenzte Sensorreichweite angemessen berücksichtigen 
zu können. 


Schließlich wird die zuletzt geplante Soll-Trajektorie sowie die Fail-Safe- 
Trajektorie im Umweltmodell hinterlegt. Erstere stellt dabei sicher, dass die 
nächste Soll-Trajektorie ruckfrei und somit komfortabel geplant werden 
kann (vgl. [Ziel4a, Kapitel II-F]). Die Fail-Safe-Trajektorie wird hingegen 
im Rahmen des in Abschnitt 4.2 eingeführten Sicherheitskonzepts für die 
Rückfallebene vorgehalten. Abbildung 3.1 veranschaulicht einige Elemente 
des Umweltmodells an einer Beispielsituation. 


Abbildung 3.1: Beispielhafte Elemente eines Umweltmodells: Das Ego-Fahrzeug bewegt sich mit 
45 =, die zuletzt geplante Soll- und Fail-Safe-Trajektorie sind blau gestrichelt 
bzw. rot gekennzeichnet und die Sensorreichweite blau hinterlegt. Ein weite- 
res Fahrzeug (griin) wurde mit 55 = beobachtet, die prädizierte Trajektorie ist 


als gestrichelte Linie angedeutet und die prädizierte Worst-Case-Belegung grün 
unterlegt. 
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3.2 Verhaltensbausteine 


In diesem Abschnitt sollen die in Abschnitt 2.2.4 vorgestellten Verhaltensbau- 
steine in den Kontext des automatisierten Fahrens übertragen werden. Dies 
betrifft insbesondere welchen Abstraktionsgrad ein Verhaltensbaustein adres- 
siert, die daraus resultierende Repräsentation der Stellgrößen, eine geeignete 
Spezifikation der Start- und Fortsetzungs-Bedingungen und schließlich wie in 
einem Verhaltensbaustein dessen Stellgrößen bestimmt werden können. 


Bevor diese Details ausgeführt werden, seien zur besseren Übersicht nochmals 
die Schnittstellen eines Verhaltensbausteins zusammengefasst: 


Start-Bedingung Die Start-Bedingung Start gibt an, ob ein Verhaltensbau- 
stein in der gegebenen Situation aufgerufen werden kann. 


Fortsetzungs-Bedingung Die Fortsetzungs-Bedingung Fortsetzung gibt 
an, ob ein bereits aktiver Verhaltensbaustein fortgesetzt werden kann. 


Stellfunktion Die Stellfunktion Aktion führt die Verhaltensplanung des 
Verhaltensbausteins aus und gibt entsprechende Stellgrößen zurück. 


3.2.1 Abstraktionsgrad 


Wie in Abschnitt 2.1 diskutiert, lässt sich die Fahraufgabe in drei hierarchi- 
sche Ebenen aufteilen: eine strategische, taktische und operative Ebene. Die 
in dieser Arbeit entworfene Verhaltensentscheidung ist dafür ausgelegt min- 
destens die taktische Ebene, also die Verhaltensentscheidung zu realisieren. 
Sie kann zwar auch für strategische Entscheidungen eingesetzt werden, aller- 
dings werden diese in der Regel bereits offline im Voraus oder im Betrieb von 
den Nutzern oder externen Diensten festgelegt. 


Ein Verhaltensbaustein bildet in dieser Arbeit also taktische Fahrmanöver ab, 
die sich über einen Zeitraum von etwa 5 bis 20 Sekunden erstrecken. Dies 
schließt beispielsweise Fahrstreifenwechsel, Einpark- oder auch Haltemanö- 


ver ein. 
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3.2.2 Manöverrepräsentation 


Für die Repräsentation des von einem Verhaltensbaustein intendierten 
Verhaltens, ist entscheidend, ob die Verhaltensarbitration ausschließlich 
die Manöver- oder auch eine Bewegungsplanung übernehmen soll. Einer- 
seits ist eine abstrakte Manöverrepräsentation, die im Wesentlichen die 
relevanten Fahrstreifenbegrenzungen, prädizierte Objekte samt gewählter 
Homotopieklasse sowie Verkehrsregeln umfasst, sehr gut für die Neben- 
bedingungen einer nachgelagerten Trajektorienplanung geeignet [Orz20]. 
Andererseits können nicht alle Situationen mit einer einheitlichen abstrakten 
Repräsentation abgedeckt werden. Beispielsweise haben Parkflächen nicht 
notwendigerweise wohldefinierte Fahrstreifen, deren Begrenzungen den 
Fahrkorridor festlegen könnten. 


Zudem werden die Arbitratoren im Rahmen des Sicherheitskonzepts in Ab- 
schnitt 4.2 bereits konkrete Trajektorien für die Erreichbare-Mengen-Analyse 
benötigen, um entscheiden zu können, ob ein Verhalten nicht nur anwendbar, 
sondern auch sicher ist. Aus diesen Gründen wird in dieser Arbeit das geplante 
Manöver in Form einer Soll-Trajektorie x(t) ausgegeben. Sie bildet den Haupt- 
bestandteil der Stellgrößen, die von der Funktion Aktion bestimmt werden. 


Zusätzlich definiert die Fail-Safe-Trajektorie X(t), wie in Abschnitt 2.5.2 und 
4.2 diskutiert, eine ausfallsichere Alternativ-Trajektorie für den Fall, dass im 
nächsten Planungsschritt keine neue beweisbar sichere Trajektorie gefunden 
werden kann. Die Fail-Safe-Trajektorie garantiert also ein kollisionsfreies Ver- 
halten bzgl. der Worst-Case-Prädiktionen der Erreichbaren-Mengen-Analyse. 


Weiterhin werden Verhaltensbausteine mit der Umwelt oder auch den Pas- 
sagieren kommunizieren wollen. Dazu zählen Ausgaben und Informationen 
für die nach innen wie nach außen gerichteten HMIs sowie zur V2X-Kom- 
munikation. 


Eine HMI kann Insassen beispielsweise über den aktuellen Zustand der Auto- 
matisierung oder dynamische Größen wie die aktuelle Geschwindigkeit auf- 
klären. Sie kann aber auch zur Interaktion mit den Insassen herangezogen 
werden, um bei Bedarf die Autonomiegrenzen des Systems zu überwinden. 
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Beispielsweise könnte darüber eine manuelle Freigabe von schwierigen Vor- 
fahrtsituationen angefragt werden. HMIs werden außerdem auch eingesetzt, 
um die Interaktion mit anderen Verkehrsteilnehmern zu verbessern — sei es 
mit konventionellen Fahrtrichtungsanzeigern oder innovativen Ansätzen zur 
Kommunikation mit kreuzenden Fußgängern [Ras20]. 


V2V und V2I können verwendet werden, um mit anderen Verkehrsteilneh- 
mern auf Informations- oder gar Manöverebene zu kooperieren [Bur17]. Bei 
der informationsbasierten Kooperation werden bspw. Sensor- oder Planungs- 
daten weitergegeben, um den anderen Verkehrsteilnehmern eine bessere 
Wahrnehmung und Prädiktion zu ermöglichen. Bei manöverbasierter Ko- 
operation werden zudem Manöveroptionen samt assoziierten Kosten oder 
Nutzen kommuniziert, um in gemeinsamer Absprache interaktive Fahrma- 
növer zu koordinieren. In Anwendungen, die hohe Automatisierungsgrade 
anstreben oder große Flotten einsetzen, wird eine sog. Flottenverwaltung 
mittels V2F bspw. über Fehlerfälle informiert, um entscheiden zu können, ob 
ein Fahrzeug zur Wartung geordert werden soll [Mer18]. 


= Fail-Safe-Trajektorie 
æ ææ Soll-Trajektorie 
HMI (Fahrtrichtungsanzeiger) 


e 
> Fahrzeug-zu-X-Kommunikation (V2X) 
Abbildung 3.2:In dieser Arbeit gewählte Manöverrepräsentation: Soll- und Fail-Safe- 


Trajektorie, Fahrtrichtungsanzeiger als Beispiel einer HMI und V2X Kommuni- 
kation. 


Die Manöverrepräsentation setzt sich schließlich aus 


e der Soll-Trajektorie x(t), 
e einer Fail-Safe-Trajektorie X(t), 
e HMI-Ausgaben Mym und 
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e V2X-Nachrichten my x 


zusammen. Abbildung 3.2 stellt diese in einem beispielhaften Szenario dar. 


3.2.3 Start- und Fortsetzungs-Bedingungen im Kontext 
des automatisierten Fahrens 


Die Start- und Fortsetzungs-Bedingungen der Verhaltensbausteine leiten sich 
im Kontext des automatisierten Fahrens aus den in Abschnitt 2.5.1 eingeführ- 
ten ODDs der adressierten Teilverhalten ab. Dabei beziehen sich die ODDs auf 
das Verhalten der gesamten Verarbeitungskette eines Fahrerassistenzsystems 
(oder einer seiner Teilfunktionen, nicht aber Teilmodule), sodass alle Verar- 
beitungsschritte - von der Wahrnehmung bis zur Regelung - innerhalb der 
spezifizierten ODDs voll funktionsfähig sein müssen. Es kann daher ange- 
bracht sein, in den Start- und Fortsetzungs-Bedingungen eines Verhaltensbau- 
steins neben den ODDs auch die Qualität der Eingangsdaten, beispielsweise in 
Form von Unsicherheiten, Sensorabdeckung oder -reichweite, zu prüfen. Dies 
ist insbesondere bei Forschungs- und Erprobungsfahrzeugen deren Wahrneh- 
mung noch nicht die ODDs erfüllt, oder als zusätzliche Vorsichtsmaßnahme in 
Serienfahrzeugen, ratsam. Beispiel 3.1 zeigt exemplarisch die Start-Bedingun- 
gen eines Verhaltensbausteins zum Einordnen im Reißverschlussverfahren. 


Beispiel 3.1: Einordnen im Reißverschlussverfahren 


Ein Verhaltensbaustein eines Erprobungsfahrzeugs zum Einordnen im Reißver- 


schlussverfahren kann beispielsweise eingeschränkt werden auf 


« Engstellen auf dem Testfeld Autonomes Fahren Baden- 
Württemberg [Fuc18], 
— an welchen zwei Fahrstreifen gleicher Fahrtrichtung 


- mit zulässigen Höchstgeschwindigkeiten von bis zu 60 = 


— ohne Lichtsignalanlage zusammengeführt werden, 


zu jeder Tageszeit, 
e bei sonnig trockenem Wetter bis einschließlich gemäßigtem Regen, 


e solange der zweite Fahrstreifen mind. 65 m nach hinten sensorisch erfasst ist 


¢ und sich unter den betroffenen Verkehrsteilnehmern keine VRUs befinden. 


55 


3 Verhaltensarbitration fiir automatisierte Fahrzeuge 


Schließlich muss beim Systementwurf darauf geachtet werden, dass sich die 
ODDs der Verhaltensbausteine überlappen, damit eine sichere Übergabe zwi- 
schen jeweils zwei Verhaltensoptionen gewährleistet werden kann. 


3.2.4 Verhaltensgenerierung 


Sind die Start- und Fortsetzungs-Bedingungen eines Verhaltensbausteins er- 
füllt und wird dieser daraufhin von seinem übergeordneten Arbitrator aufge- 
rufen, erfolgt die eigentliche Verhaltensgenerierung (oder auch Bewegungs- 
planung) in der Aktion-Funktion. Diese schließt die Planung der Soll- und 
Fail-Safe-Trajektorien sowie ggf. die Bestimmung von HMI-Ausgaben oder 
V2X-Nachrichten ein. 


Soll-Trajektorie 


Die Soll-Trajektorie, im Terminus von [Alt16] auch Langzeit-Referenz-Trajek- 
torie genannt, gibt an wie sich das Fahrzeug für die nächsten 5 bis 20 Se- 
kunden bewegen soll. Sie wird im Rahmen der Verhaltensgenerierung bspw. 
mittels Graphensuche [Ban18], strukturierter Trajektorienscharen [Wer10], 
Nichtlinearer Optimierung [Zie14a], POMDP [Hub18b] oder lernender Ver- 
fahren wie Bestärkendem Lernen [Zen20] geplant. Dabei gibt es zum einen 
harte Anforderungen, die sie in jedem Falle erfüllen muss. Zum anderen wer- 
den auch weiche Anforderungen formuliert, die zwar im Regelfall erfüllt sein 
sollten, aber nicht zwingend notwendig sind. 


Zu den harten Anforderungen an eine Soll-Trajektorie zählt insbesondere ih- 
re Realisierbarkeit. Es muss also sichergestellt sein, dass die resultierenden 
Aktor-Stellgrößen wie Soll-Beschleunigung und Soll-Lenkwinkel beschränkt 
sind und die Trajektorie auch fahrdynamisch umsetzbar ist. Die Grenzen der 
Realisierbarkeit werden durch technische Leistungsgrenzen, z.B. den maxi- 
mal möglichen Lenkeinschlag, sowie physikalische Grenzen, wie die maximal 
übertragbaren Seitenkräfte, festgelegt. Um diese Anforderung zuverlässig zu 
erfüllen, kann ein dynamisches Fahrzeugmodell in die Trajektorienplanung 
eingebunden werden. 
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tk-ı tk tk+1 aw) tk+3 tk+4 
perception planning control 
& prediction 
new data 


Go lidar) N 


Abbildung 3.3: Intervalle der Verarbeitungskette: Zum Planungsintervall x = [tk, fr) wird 
die im vorigen Intervall bestimmte Trajektorie x*—1(t) eingeregelt. Die Soll- 
Trajektorie x*(t) wird folglich frühestens zum Zeitpunkt fr eingeregelt. Die 
Fail-Safe-Trajektorie X*(t), auf die im Planungsintervall x + 1 gewechselt wer- 
den könnte, würde hingegen frühestens zum Zeitpunkt fr eingeregelt. 


tk tk+1 tk+2 Ir tk+4 tk+1+N 
e zm zm mm e mm mm mm = 
Lea Gi x*(t) 
X*(t) N 
` 


Abbildung 3.4: Die im Zeitintervall x = Ir, fr) geplante Soll-Trajektorie x“(t) muss in 
diesem Intervall mit der vorherigen Trajektorie x*—1(t) übereinstimmen, um 
einen ruckarmen Übergang zu ermöglichen. Da die Fail-Safe-Trajektorie X*(t) 
frühestens zum Zeitpunkt fr eingeregelt wird, muss sie für das Zeitintervall 
[tks tk+2] mit der Soll-Trajektorie x*(t) übereinstimmen. 


Eine weitere harte Anforderung resultiert aus dem Laufzeitverhalten der Ver- 
arbeitungskette. Abbildung 3.3 veranschaulicht vereinfachend die Laufzeitin- 
tervalle der drei konsekutiven Verarbeitungsschritte Wahrnehmung und Prä- 
diktion, Verhaltensgenerierung und Regelung. Bei Eintreffen neuer Messdaten 
zum Zeitpunkt tķ—ı bestimmt die Wahrnehmung und Prädiktion das in Ab- 
schnitt 3.1 beschriebene Umweltmodell. Liegt dieses zum Zeitpunkt fr vor, 
wird auf dessen Basis die Verhaltensgenerierung durchgeführt. Da diese aller- 
dings voraussichtlich erst zum Zeitpunkt tx,ı abgeschlossen sein wird, muss 
davon ausgegangen werden, dass bis dahin die im vorigen Planungsschritt 
x—1 geplante Trajektorie eingeregelt wird. Um folglich den Übergang von der 
zuvor zu der aktuell geplanten Trajektorie zu ermöglichen, muss die neue Tra- 
jektorie x*(t) im Intervall Ip, tx+1] mit der vorherigen Trajektorie Sr" JO), 
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wie in Abb. 3.4 dargestellt, übereinstimmen!: 


x*(t) = SEIL, Vt € [ty thai] bzw. (3.1a) 
ern V1 € [0,1]. (3.1b) 


Ware diese Anforderung nicht erfiillt, kame es am Ubergang der Trajektorien 
zu einem Sprung und somit voraussichtlich auch zu einem ruckbehafteten 
Sprung in den Stellgrößen des Reglers. In einem solchen Falle wäre daher die 
Realisierbarkeit der Soll-Trajektorie nicht mehr gewährleistet. 


Weiterhin sollte die Soll-Trajektorie kollisionsfrei bzgl. der prädizierten Ob- 
jektbewegungen sein. Da sich andere Verkehrsteilnehmer allerdings aufgrund 
von Unsicherheiten in der Wahrnehmung und Prädiktion sowie der nicht- 
deterministischen menschlichen Natur durchaus anders verhalten können als 
vorhergesehen, muss die Soll-Trajektorie diese Zielsetzung nicht notwendi- 
gerweise erfüllen, solange die Fail-Safe-Trajektorie beweisbar kollisionsfrei 
ist. 


Als zweite weiche Anforderung gilt die Einhaltung der Verkehrsregeln. Da al- 
lerdings Sondersituationen die Überschreitung einzelner Verkehrsregeln er- 
fordern können, bspw. um den Verkehrsfluss aufrechtzuerhalten oder Ret- 
tungsfahrzeugen Platz zu schaffen, darf die Soll-Trajektorie die Verkehrsre- 
geln gelegentlich brechen. 


Fail-Safe-Trajektorie 


Die Fail-Safe-Trajektorie stellt eine ausfallsichere Alternativ-Trajektorie dar, 
auf die die Verhaltensarbitration im Planungsintervall x + 1 zurückgreifen 
kann, sollte dann keine der anwendbaren Verhaltensoptionen ein beweisbar 
sicheres Manöver zurückgeben. Prinzipiell können Fail-Safe-Trajektorien mit 


1 Hierbei wird vereinfachend, allerdings o. B. d. A. angenommen, dass die zeitliche Auflösung 
der Soll-Trajektorie mit den Laufzeitintervallen der Trajektorienplanung übereinstimmt. Eine 
bspw. höhere Auflösung der Soll-Trajektorie kann mit Substitution des Index l erreicht werden. 
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ahnlichen Methoden wie die Soll-Trajektorie geplant werden. Es wurde aller- 
dings bereits auch ein spezialisiertes Verfahren basierend auf konvexer Opti- 
mierung vorgestellt [Pek18]. Außerdem ist eine kombinierte Planung der Soll- 
und Fail-Safe-Trajektorien in einem integrierten Planungsproblem denkbar. 


Da die Fail-Safe-Trajektorie eine zuverlässige Rückfallebene bilden soll, unter- 
liegt sie strengeren harten Anforderungen als die Soll-Trajektorie. Zunächst 
muss sie kollisionsfrei bzgl. der Worst-Case-Prädiktionen der Erreichbare- 
Mengen-Analyse sein. Sie darf also zu keinem Zeitpunkt eine Überschnei- 
dung mit den möglichen Belegungen durch andere Verkehrsteilnehmer auf- 
weisen (Abschnitt 2.5.2). Diese harte Anforderung an die Fail-Safe-Trajektorie 
ist wesentlich für das Sicherheitskonzept in Abschnitt 4.2 und wird daher in 
Abschnitt 4.2.4 formalisiert. 


Außerdem muss die Fail-Safe-Trajektorie analog zur Soll-Trajektorie tech- 
nisch wie auch fahrdynamisch realisierbar sein. Da die im Planungsintervall x 
bestimmte Fail-Safe-Trajektorie X*(t) allerdings, wie in Abb. 3.3 und 3.4 ver- 
anschaulicht, erst im Planungsintervall x + 1 gewählt werden könnte, wird 
sie frühestens ab t;,4., eingeregelt. Daher muss X*(t) im Intervall [t,,tx 2] der 
Soll-Trajektorie x*(t) gleichkommen, um ihre Realisierbarkeit zu gewährleis- 
ten: 


X*(t) = x*(t), Vt € [ths thal bzw. (3.2a) 
Er = x", vie [0,2]. (3.2b) 


HMI-Ausgaben 
Die von einem Verhaltensbaustein veranlassten HMI-Ausgaben my sind in 


der Regel manöverabhängig und vorab definiert. Bei einem Fahrstreifenwech- 
sel werden bspw. die entsprechenden Richtungsanzeiger aktiviert. 
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V2X-Nachrichten 


Ähnlich verhält es sich mit den V2X-Nachrichten myx, wobei diese bspw. die 
Intention des geplanten Manövers, die aktuell geplante Soll-Trajektorie x(t) 
oder auch weitere Informationen beinhalten können. 


Stellgrößentupel 


Schließlich gibt die Funktion Aktion das geplante Manöver, wie in Ab- 
schnitt 3.2.2 festgelegt, als Tupel 


u“ = DI, ER, mými äs (3.3) 


an den aufrufenden Arbitrator zuriick. 


3.3 Arbitratoren 


Die Arbitratoren sind in ihrer Theorie sowie Implementierung grundsätzlich 
generisch und anwendungsunabhängig. Es kann allerdings in sicherheitskri- 
tischen Anwendungen, wie dem automatisierten Fahren, vorteilhaft sein die 
Arbitration um einen Verifikationsschritt zu erweitern. Prinzipiell wäre ei- 
ne Verifikation auch in den Start- und Fortsetzungs-Bedingungen der Verhal- 
tensbausteine möglich, jedoch wäre hierfür bereits die ggf. rechenintensive 
Berechnung der Stellgrößen notwendig. Außerdem trägt eine Verifikation au- 
ßerhalb der Verhaltensbausteine zur Entkopplung bei und garantiert, dass die 
gleiche Verifikationsmethode für alle Verhaltensbausteine eingesetzt wird. 


Daher wird der Verifikationsschritt in die Arbitration integriert, indem die 
Stellgröße der Aktion-Funktion einer Verifikationsfunktion H unterzogen 
wird, bevor der Arbitrator entscheidet, ob er diese Option tatsächlich auswäh- 
len und diese Stellgröße zurückgeben soll. Scheitert nämlich die Verifikation, 
prüft der Arbitrator seine Alternativoptionen oder greift auf die Rückfallebe- 
ne zurück. Abschnitt 4.2 erläutert, wie dadurch die Gültigkeit und Sicherheit 
der von einem Arbitrator zurückgegebenen Stellgröße gewährleistet wird. 
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Algorithmus 2 : Kosten-Arbitrator 


1 function Best eAnwendbareAkt ion (Situation S) 
2 Filtere anwendbare Optionen A C O 
3 Sortiere anwendbare Optionen nach Kosten ihrer Aktion: 
A* = (do, Q},...) | cost(Aktiong,(s)) < cost(Aktiong,,, (s)) Va; € A 


4 Wähle günstigste Intention 0 = dg aus 
5 Bestimme u = Aktiong($) 

6 return u 

7 end 


3.3.1 Kosten-Arbitrator 


Eine weitere Anforderung, die sich aus den ersten Untersuchungen zur Ver- 
haltensarbitration fiir automatisierte Fahrzeuge ergeben hatte, ist die Not- 
wendigkeit in ausgewählten Arbitrationsebenen statt nach einer festgelegten 
Priorisierung oder Sequenz eine Verhaltensoption dynamisch nach dem zu 
erwartenden Nutzen zu wählen. Hierfür wurde in [Orz20] ein sog. Kosten- 
Arbitrator vorgestellt, der an dieser Stelle formalisiert werden soll. 


Die Start- und Fortsetzungs-Bedingung des Kosten-Arbitrators gleicht dem 
des Prioritäts-Arbitrators: 


Start cost(Sx) = \/ Starto(se) (3.4) 
oe 

Fortsetzung „„(Sk) = V Starto(Sk) V Fortsetzung,, (Sx) (3.5) 
oe 


In der Aktion-Funktion, die in Algorithmus 2 aufgeführt ist, filtert der 
Kosten-Arbitrator zunächst seine Optionen O nach ihrer Anwendbarkeit. 
Anschließend bestimmt er für jede der anwendbaren Optionen ihre Aktion, 
schätzt die zugehörigen Kosten und sortiert diese Optionen nach ihren Kos- 
ten. Schließlich wählt er aus dieser sortierten Liste anwendbarer Optionen A* 


die günstigste als Intention und führt diese aus. 
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3.3.2 Übersicht 


Neben der Definition von neuen Arbitratoren ermöglicht die in dieser Arbeit 


verwendete Implementierung zudem weitere Feineinstellungen der Auswahl- 


logik. Beispielsweise kann für jede Option definiert werden, ob sie trotz wah- 


rer Fortsetzungs-Bedingung unterbrechbar ist. Auf diese Weise kann u.a. der 


Abschluss-Arbitrator durch den Prioritäts-Arbitrator ersetzt werden. 


Fasst man schließlich die Arbitratoren aus Abschnitt 2.2.4 mit dem Kosten- 


Arbitrator zusammen, stehen beim Systementwurf die in Abb. 3.5 dargestell- 


ten Arbitrationsschemata zur Verfügung: der Prioritäts-, Sequenz-, Zufalls- 


und Kosten-Arbitrator. 


Hohe Priorität 


Mittlere Priorität Lä Prioritäts-Arbitrator 


Niedrige Priorität 


(a) Da der Verhaltensbaustein Hohe Priorität aktu- 
ell nicht anwendbar ist, wählt der PRIORITÄTS- 
ARBITRATOR die Option Mittlere Priorität. 


Option A 


Option B KE? Zufalls-Arbitrator 


Option € 


(c) Der Zuratts-ARBITRATOR wählt zufällig eine 
seiner anwendbaren Optionen Option B und C. 


Erster Schritt 
Zweiter Schritt Ze Sequenz-Arbitrator 
Dritter Schritt 


(b) Der SEQUENZ-ARBITRATOR ruft seine Optionen 
der Reihe nach auf. 


Hoher Nutzen $ Kosten-Arbitrator 


Nicht Anwendbar 


(d) Der KostEn-ARBITRATOR wählt die anwendba- 
re Option mit den geringsten zu erwartenden 
Kosten bzw. dem höchsten Nutzen. 


Abbildung 3.5: Die in dieser Arbeit verwendeten Arbitrationsschemata. 
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Verhaltensarbitration 


Das allgemeine Ziel des Sicherheitskonzepts dieser Arbeit ist es, in Anleh- 
nung an [Reil0], kritische Fahrzeugzustände und Verkehrssituationen zu ver- 
meiden und zugleich die daraus resultierenden Funktions- oder Leistungsein- 
schränkungen zu minimieren. Im Rahmen dieser Arbeit wird eine Auswahl re- 
levanter Verkehrsrisiken sowie möglicher spezifikations-, implementierungs- 
und störungsbedingter Fehlzustände in der Verhaltensgenerierung berück- 
sichtigt. Fehlzustände in der eingesetzten Hardware (u.a. Sensorik, Aktorik 
und Rechnersysteme) oder Middleware (z.B. Robot Operating System (ROS)) 
sind hingegen nicht Inhalt dieser Arbeit, da hierzu bereits umfangreiche Lite- 
ratur existiert [Ech90, Lap95, Dub13, Mon99, Kor20]. 


Dieses Kapitel verwendet, insbesondere beim Sicherheitskonzept in Ab- 
schnitt 4.2, eine möglichst formale und auf andere Anwendungen übertrag- 
bare Darstellung, bevor Kapitel 5 die konkrete Umsetzung im Kontext des 
automatisierten Fahrens darlegt. 


Abschnitt 4.1 definiert zunächst die Sicherheitsziele dieser Arbeit. In Ab- 
schnitt 4.2 wird das dieser Arbeit zugrunde liegende Sicherheitskonzept be- 
züglich Ausfallsicherheit, Echtzeitfähigkeit und Verkehrssicherheit entwor- 
fen, um damit die genannten Sicherheitsziele zu gewährleisten. Schließlich 
fasst Abschnitt 4.3 die Kapitel 3 und 4 in einer Systemübersicht zusammen. 
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4.1 Sicherheitsziele 


Fur die Methode der Verhaltensarbitration lassen sich daraus konkrete Sicher- 
heitsziele ableiten, die die Fehlertoleranz (Abschnitt 2.4) sowie die Verkehrs- 
sicherheit (Abschnitt 2.5) adressieren und im Folgenden fiir die Anwendung 
des automatisierten Fahrens festgelegt werden. An dieser Stelle wird zur bes- 
seren Lesbarkeit „die Verhaltensgenerierung mittels Arbitrationsverfahren“ 
mit „das System“ abgekürzt. 


S1: Das System deckt notwendige Verhaltenskompetenzen ab 


Zunächst muss die Verhaltensgenerierung ausreichend Verhaltenskompeten- 
zen abdecken, um die zu erwartenden Situationen innerhalb der ODDs be- 
wältigen zu können. Sollte dennoch eine nicht unterstützte Situation auftre- 
ten, muss die Verhaltensgenerierung dies erkennen und ein MRM ausführen, 
um das Fahrzeug in einen MRC zu überführen. Es sei darauf hingewiesen, 
dass MRMs zwar das vom betroffenen Fahrzeug ausgehende Risiko minimie- 
ren, allerdings dennoch eine höhere Verkehrsgefährdung darstellen können 
als ein spezialisiertes Fahrmanöver (bspw. wenn das Fahrzeug vor einer Bau- 
stelle zum Stehen kommt, statt sie gekonnt zu passieren). Daher müssen die 
ODDs möglichst genau bestimmt werden und zugleich möglichst vollständig 
von den Verhaltenskompetenzen abgedeckt werden, um solche nicht unter- 
stützten Situationen innerhalb der ODDs zu vermeiden. 


S2: Das System gewährleistet ein MRM bei Verlassen der ODDs 


Sind die ODDs sorgfältig spezifiziert und umfänglich über Verhaltenskompe- 
tenzen abgedeckt, können sie z.B. durch einen Wetterumschwung oder eine 
sich unerwartet veränderte Szenerie dennoch verlassen werden. In einem sol- 
chen Fall muss die Verhaltensgenerierung diesen Umstand erkennen und das 
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Fahrzeug wie in Abschnitt 2.5 beschrieben in einen sicheren Zustand überfüh- 
ren. Je nach Situation können hierfür verschiedene MRMs infrage kommen. 


S3: Das System ist robust gegen Ausfälle der Verhaltensbausteine 


Während Arbitratoren einer vergleichsweise simplen Funktionslogik folgen 
und somit ihre robuste und zuverlässige Ausführung durch Komponenten- 
tests oder gar einen formalen Beweis sichergestellt werden kann, decken Ver- 
haltensbausteine hingegen komplexe Aufgaben ab und werden ggf. von unter- 
schiedlichen Entwicklern in variierender Qualität implementiert. Daher sind 
seltene Ausfälle der Verhaltensbausteine in Form von Softwareabstürzen, ins- 
besondere im frühen Entwicklungsstadium, nicht auszuschließen und müssen 
somit abgefangen werden. 


S4: Das System vermeidet unzureichende Planungsfrequenz 


Damit die von den Verhaltensbausteinen geplanten Trajektorien auch tatsäch- 
lich realisiert werden können, bspw. ein Haltemanöver zum Halt an der vor- 
gesehenen Stelle führt, muss die gesamte Verhaltensgenerierung eines Serien- 
fahrzeugs harte Echtzeitbedingungen erfüllen [Wör05]. Die Soll-Trajektorie 
des Planungsintervalls x = [tķ,tk+}1) muss folglich spätestens zum Zeitpunkt 
tx; an die Regelung weitergereicht werden. In Versuchsfahrzeugen mit ge- 
schultem Sicherheitsfahrer kann diese Anforderung zu weichen Echtzeitbe- 
dingungen entschärft werden. 


Gilt für die Verhaltensarbitration eine harte Echtzeitanforderung von bspw. 
200 ms Laufzeit bzw. Periodendauer, müssen die Verhaltensbausteine eine 
strengere Echtzeitbedingung von entsprechenden 180 ms Laufzeit erfüllen. 
Somit wird den Arbitratoren Zeit für eine Erwägung aller infrage kommender 
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Manöveroptionen und der Verifikation ihrer Soll- und Fail-Safe-Trajektorien 


gegeben. 


S5: Das System verhindert ungültige Stellgrößen 


Der Einsatz Nichtlinearer Optimierung oder Methoden des Maschinellen Ler- 
nens innerhalb der Verhaltensbausteine birgt die Gefahr Trajektorien zu gene- 
rieren, die kinematisch oder dynamisch nicht realisierbar sind. Daher muss die 
Verhaltensarbitration in der Lage sein, Trajektorien, die zu ungültigen Stell- 
größen führen würden, zu erkennen und abzufangen. 


S6: Das System vermeidet riskante Stellgrößen 


Weiterhin muss sichergestellt werden, dass riskante Trajektorien, also solche, 
die zu kritischen Fahrsituationen führen können, wenn möglich verhindert 
werden. Es reicht allerdings nachzuweisen, dass die geplante Soll-Trajektorie 
noch im nächsten Planungsintervall einen Wechsel zur Fail-Safe-Trajektorie 
ermöglicht und letztere nachweislich kollisionsfrei ist. Hierfür können bspw. 
die prädizierten Worst-Case-Belegungen aus Abschnitt 2.5.2 ausgewertet wer- 
den. 


4.2 Sicherheitskonzept 


Das in diesem Abschnitt beschriebene Sicherheitskonzept baut auf den in Ab- 
schnitt 2.4 und Abschnitt 2.5 vorgestellten Konzepten zur Fehlertoleranz und 
Verkehrssicherheit sowie auf Maßnahmen zur Echtzeitfähigkeit auf. Zu den 
Methoden zur Verkehrssicherheit zählt der Systementwurf und die Verifikati- 
on, womit die Sicherheitsziele S1, S2 und S6 adressiert werden. Die Einhal- 
tung der Echtzeitfähigkeit gewährleistet zudem das Sicherheitsziel S4. Die 
Verfahren zur Fehlertoleranz - insbesondere die Modularität des Arbitrati- 
onsgraphen und die daraus resultierende Entkopplung der Verhaltensbaustei- 
ne sowie die Redundanz und Diversität von Verhaltensbausteinen - tragen 
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schließlich zur Ausfallsicherheit bei und realisieren somit die Sicherheitszie- 
le S3 und 55. 


Im Sinne fehlertoleranter Systeme sind der Systementwurf und die Sicher- 
stellung der Echtzeitfähigkeit Maßnahmen zur Fehlervermeidung, während 
die Verifikation der Stellgrößen und die Methoden zur Ausfallsicherheit Maß- 
nahmen zur Fehlererkennung und -behandlung sind. 


4.2.1 Fehlervermeidung beim Systementwurf 


Park Near Goal 


Follow Lane 
Slowly Pass Zebra 
Change Lane Left 


kann 
= 


$ Urban Driving | 3 Automated Driving 


Fail Safe Fallback 


Emergency Stop 


env. 
model 


Abbildung 4.1: Arbitrationsgraph mit drei Verhaltensbausteinen als Rückfallebene. Continue 
Last Maneuver setzt das zuletzt geplante Manöver fort, solange es noch ausführ- 
bar und nicht zu alt ist. Fail Safe Fallback führt die zuletzt geplante Fail-Safe- 
Trajektorie aus. Sollte sogar diese wegen unerwarteter Ereignisse nicht mehr 
sicher sein, führt Emergency Stop ein Nothaltemanöver aus. 


Ein strukturierter Systementwurf trägt zur Fehlervermeidung bzgl. Verkehrs- 
sicherheit bei und bildet somit die Grundlage, um die genannten Sicherheits- 
ziele in der Verhaltensgenerierung zu erreichen. Zunächst sind die ODDs an 
das Gesamtsystem zu definieren. Es ist also zu klären, wo und unter welchen 
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Bedingungen das automatisierte Fahrzeug betrieben werden soll. Anschlie- 
Bend werden in einem iterativen Prozess hieraus notwendige Verhaltenskom- 
petenzen abgeleitet. Diese können initial auf Erfahrungswerten sowie Kata- 
logen wie die der NHTSA und Waymo [Way20a] beruhen, müssen im wei- 
teren Verlauf allerdings durch systematische Analyse von Realdaten laufend 
ergänzt werden. 


Im nächsten Schritt werden Verhaltensbausteine entworfen, die jeweils eine 
oder mehrere Verhaltenskompetenzen abdecken. Dabei werden die jeweili- 
gen ODDs in die Start- und Fortsetzungs-Bedingungen der Verhaltensbau- 
steine integriert. Wurden alle Verhaltenskompetenzen berücksichtigt, liegt 
der Schluss nahe, dass die ODDs hinreichend adressiert wurden. Wenn sich 
jedoch die Betriebsbedingungen der Verhaltensbausteine nicht nennenswert 
überlappen, kann nur in seltenen Fällen zwischen Verhaltensbausteinen ge- 
wechselt und somit nicht die vollständigen ODDs bedient werden. Daher ist es 
sinnvoll detaillierte ODDs je Verhaltensbaustein festzulegen, um deren Über- 
lappungen untersuchen und sicherstellen zu können. 


Aus den ODDs ergibt sich zudem der Definitionsbereich, der durch Kom- 
ponententests abgesichert werden muss. Hierbei erleichtert die Modularität, 
insbesondere die Aufspaltung in einzelne Verhaltensbausteine, deren Validie- 
rung: Die Verhaltensbausteine können aus dem Baum herausgenommen und 
in separaten kontrollierten Testumgebungen überprüft werden. 


Außerdem sind die ODDs der Verhaltensbausteine neben den Verhaltenskom- 
petenzen ein weiterer Ausgangspunkt bei der Erstellung eines Szenarienka- 
talogs zur Validierung der Verhaltensbausteine. Dabei ist darauf zu achten, 
das ganze Spektrum der jeweiligen ODD auszuschöpfen, um eine möglichst 
vollständige Abdeckung zu erreichen. 


Eine lückenlose Abdeckung der ODDs und der dafür notwendigen Verhal- 
tenskompetenzen wird allerdings aufgrund der Fülle und Komplexität insbe- 
sondere sehr seltener Ereignisse nicht möglich sein. Daher wird das aus bspw. 
unvorhergesehenen Situationen resultierende Restrisiko über eine Rückfall- 
ebene samt Verifikation der Fail-Safe-Trajektorien abgefangen. Damit in je- 
dem Falle ein MRM verfügbar ist, muss die Wurzel des Arbitrationsgraphen 
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mindestens ein MRM bereithalten, das immer anwendbar ist (bspw. ein Not- 
haltemanöver). 


Abb. 4.1 veranschaulicht die in dieser Arbeit eingeführte Rückfallebene am 
minimalen Arbitrationsgraphen für das automatisierte Fahren. Mit einem 
zwischengeschalteten Kosten-Arbitrator wurden Verhaltensbausteine zur 
Folgefahrt (Follow Lane), für Fahrstreifenwechsel (Change Lane Left und 
Change Lane Right) und zum Einparken (Park Near Goal) im AUTOMATED 
Driving Prioritäts-Arbitrator angeordnet. Bezüglich konkreter Funktions- 
weise und Implementierung dieser Verhaltensbausteine sei auf Kapitel 5 
verwiesen. Zusätzlich ist an dieser Stelle die erste Rückfalloption Continue 
Last Maneuver eingebettet. Der AUTOMATED DRIVING Arbitrator bildet zu- 
gleich die Wurzel des Graphen und hält die Spezialverhalten Park Near Goal 
und Slowly Pass Zebra sowie die Rückfalloptionen Fail Safe Fallback und 
Emergency Stop mit geringerer Priorität bereit. Sollte wie angedeutet keine 
der priorisierten Optionen anwendbar sein, weil die ODDs verlassen wurden, 
wählt AUTOMATED DRIVING eine Option der Rückfallebene. Das Verhalten 
Fail Safe Fallback greift über das Umweltmodell auf die zuletzt geplante - ggf. 
noch komfortable - Fail-Safe-Trajektorie zurück und gibt diese aus. Wurden 
seit dem letzten Planungsintervall keine Annahmen der Verifikation verletzt, 
ist diese Fail-Safe-Trajektorie weiterhin nachweislich kollisionsfrei. Stellt sich 
jedoch heraus, dass diese nicht mehr beweisbar sicher ist, weil mind. eine der 
Annahmen verletzt wurde, kann der AUTOMATED DRIVING Arbitrator auf das 
Nothaltemanöver Emergency Stop zurückgreifen. 


Durch einen solchen Systementwurf werden die ersten beiden Sicherheitszie- 
le S1 und S2, nämlich notwendige Verhaltenskompetenzen abzudecken und 
bei Verlassen der ODDs ein MRM zu gewährleisten, umgesetzt. 


4.2.2 Fehlervermeidung dank Echtzeitfähigkeit 
Um das Sicherheitsziel S4 zu erreichen, also eine unzureichende Planungs- 
frequenz zu vermeiden, muss zum einen die Latenz der Verhaltensarbitrati- 


on einschließlich der Rechenzeit der Verhaltensplanung der ausgewerteten 
Verhaltensoptionen gering gehalten werden. Insbesondere soll sie auch bei 
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steigender Anzahl an Verhaltensoptionen konstant bleiben, damit die Verhal- 
tensarbitration skalierbar ist. Zum anderen muss die Verhaltensarbitration al- 
lerdings mindestens weiche Echtzeitanforderungen erfiillen, um das Sicher- 
heitsziel S4 zu erfüllen. 


Latenz 


Eine effektive Maßnahme, um die Latenz eines Multithreading Systems zu 
reduzieren, ist es — bei ausreichend vorhandener Rechenleistung - rechenin- 
tensive Prozesse, wo möglich, zu parallelisieren. Bei der Verhaltensgenerie- 
rung zählt die Manöver- und Trajektorienplanung zu den rechenintensivsten 
Verarbeitungsschritten, während die Verhaltensentscheidung häufig auf einer 
a-priori Heuristik oder einer effizient umsetzbaren Evaluation der Verhaltens- 
optionen beruht. Auf die Verhaltensgenerierung mittels Arbitrationsgraphen 
übertragen bedeutet dies, dass die Funktionen der Verhaltensbausteine, ins- 
besondere die Aktion-Funktion, rechenintensiv sind, während die Verhal- 
tensarbitration einer an sich simplen und daher effizienten Rechenlogik folgt. 
Daher bietet es sich an, die Verhaltensbausteine parallel auszuwerten. 


Allerdings steigt bei vollständiger Parallelisierung, d.h. einer parallelen Aus- 
wertung aller infrage kommenden Verhaltensoptionen, der Ressourcenauf- 
wand linear mit der Anzahl dieser anwendbaren Optionen, womit das Sys- 
tem nicht mehr skalierbar wäre. Letztlich ist ein Kompromiss aus Latenz, 
Ressourcenaufwand und Komfort gefragt: Keine Alternativoptionen auszu- 
werten würde bei Ausfällen sowie ungültigen oder unsicheren Trajektorien 
zur Ausführung der Fail-Safe-Trajektorie führen, die ggf. unverhältnismäßig 
konservativ und unkomfortabel ist. Dank der Redundanz und Diversität (Ab- 
schnitt 4.2.3) sind jedoch evtl. weitere anwendbare Alternativoptionen verfüg- 
bar, die die Situation sicher und komfortabel bewältigen können. Die Auswer- 
tung von Alternativoptionen ist daher aus Komfort- und somit auch Akzep- 
tanzgründen unabdingbar. Die proaktiv volle Parallelisierung führt allerdings, 
wie bereits diskutiert, im ungünstigsten Fall zu einem linear mit der Anzahlan 
Verhaltensoptionen steigendem Ressourcenbedarf. Eine serielle Auswertung 
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von Alternativoptionen wiirde jedoch andererseits zu sich akkumulierender 
Laufzeit und somit hoher Latenz führen. 


Es stellt sich somit vielmehr die Frage, wie und in welchem Umfang die Alter- 
nativoptionen ausgewertet werden sollen. In dieser Arbeit wird der folgende 
Kompromiss umgesetzt. Da die Start- und Fortsetzungs-Bedingungen wesent- 
lich zur Verhaltensentscheidung sind und, durch ihre meist heuristische Um- 
setzung, eine vergleichsweise geringe Rechenlast verursachen, werden diese 
vollständig parallelisiert ausgewertet. Die eigentliche, rechenintensive Ver- 
haltensplanung in den Aktion-Funktionen wird im Arbitrationsschritt hin- 
gegen nur für die Npeste besten anwendbaren Optionen B C A C O paral- 
lel ausgewertet, wobei Npeste bspw. auf maximal 3 festgelegt wird. Somit ist 
der Ressourcenaufwand an dieser Stelle begrenzt und dadurch unabhängig 
von der Gesamtanzahl an Verhaltensoptionen. Gleichzeitig gewährleistet die 
Auswertung von Alternativoptionen die Möglichkeit trotz Funktionsausfäl- 
len, nicht realisierbaren oder unsicheren Trajektorien dennoch ein sicheres 
und komfortables Verhalten zu generieren. Die Wahrscheinlichkeit, dass kei- 
ne der Alternativoptionen B in der Lage ist, rechtzeitig eine gültige und si- 
chere Trajektorie zu generieren, sinkt mit steigendem He. Dank der Paral- 
lelisierung wird die Latenz zudem nicht durch die Anzahl der ausgewerteten 
Optionen Npeste beeinflusst. 


Ereignis- oder Zeittrigger 


Bzgl. Latenz ist neben der Parallelisierung außerdem entscheidend, nach wel- 
chem Schema - ereignis- oder zeitgetriggert - die Verhaltensentscheidung 
angestoßen wird. Bei einem Ereignistrigger wird die Verarbeitung, in diesem 
Falle die Verhaltensarbitration, durch ein Eingangssignal oder Ereignis, wie 
bspw. die Ankunft neuer Messdaten, angestoßen. Alternativ kann auch ein 
isochrones Zeitsignal, ein sog. Timer, als Trigger dienen. 


Die einzelnen Bestandteile des Umweltmodells werden i. d. R. in unterschied- 
lichen Frequenzen aktualisiert. Wahrend bspw. die Objekterkennung neue 
Ergebnisse typischerweise mit 5 to 10 Hz liefert, kann die Lokalisierung Fre- 
quenzen um die 150 Hz erreichen. Bei einer angestrebten Planungsfrequenz 
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von 5 to 10 Hz eignet sich daher der Eingang neuer Objektdaten als Triggerer- 
eignis für die Verhaltensarbitration. Um allerdings robust gegenüber einer ggf. 
gestörten Eingangsfrequenz zu sein, wird zusätzlich ein Timer mit 5 Hz ein- 
gesetzt. Somit werden neue Objektdaten unverzüglich und daher mit kleinst- 
möglicher Latenz zu neuen Verhaltensentscheidungen verarbeitet. Zugleich 
wird eine Mindestplanungsfrequenz von 5Hz garantiert. 


Echtzeitfähigkeit 


Um die Echtzeitanforderungen zu erfüllen können klassische Methoden von 
Echtzeitsystemen angewandt werden [Wör05]. Dabei unterscheiden sich die 
Anforderungen in Industrie von denen in der universitären Forschung we- 
sentlich. Im industriellen, seriennahen Kontext ist die harte Echtzeitfähigkeit 
zwingend notwendig, um den zuverlässigen und sicheren Betrieb über Mil- 
lionen von Betriebsstunden hinweg zu gewährleisten. Folglich müssen alle 
Systemkomponenten, darunter das Betriebssystem, die eingesetzte Middlewa- 
re sowie die Kommunikation der Soft- und Hardwaremodule untereinander, 
harten Echtzeitanforderungen genügen. 


All diese Anforderungen können in Erprobungsfahrzeugen in der Regel nicht 
erfüllt werden, u. a. weil die Software auf gewöhnlichen Linux-Systemen oh- 
ne Echtzeitkernel betrieben werden [Meg05], die Recheneinheiten unterein- 
ander, mit der Sensorik oder mit der Aktorik über Ethernet (und somit meist 
mittels „Internet Protocol“) kommunizieren [Dan14] oder die ROS Middlewa- 
re eingesetzt wird (die ebenfalls auf dem „Internet Protocol“ aufbaut)‘. Daher 
werden im universitären Forschungskontext nur weiche Echtzeitanforderun- 
gen gestellt, solange ein geschulter Sicherheitsfahrer jederzeit die Kontrolle 
über das automatisierte Fahrzeug übernehmen kann. 


Bei der angestrebten Planungsfrequenz von 5 to 10 Hz darf die Verarbeitungs- 
zeit bzw. Latenz für den gesamten Prozess der Verhaltensgenerierung- und 


* Eines der Hauptziele von ROS2, dem Nachfolger des aktuellen de facto Standards ROS1, ist 
eine robuste und echtzeitfähige Neuentwicklung der populären Middleware, damit sie auch in 
industriellen Anwendungen eingesetzt werden kann [Zha17]. 
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entscheidung folglich 200 ms nicht überschreiten. Die Verhaltensgenerierung 
wird daher bspw. auf 180 ms beschrankt, um in den verbleibenden 20 ms die 
Verhaltensentscheidung, samt Auswertung und Verifikation der infrage kom- 
menden Trajektorien umsetzen zu können. 


Zur Diagnose einer unzureichenden Reaktionszeit (vgl. Abschnitt 2.4) werden 
alle Funktionen der Verhaltensbausteine vom zugehörigen Arbitrator zeitbe- 
grenzt und unterbrechbar aufgerufen. Liefert somit bspw. die Aktion-Funk- 
tion nicht rechtzeitig ein Ergebnis, wird der Aufruf unterbrochen und statt der 
Trajektorie ein definierter Fehlerwert uf € No zurückgegeben. Die Rückgabe 
der Aktion-Funktion eines Verhaltensbausteins i wird hierfür um einen sol- 
chen potenziellen Fehlerwert zur sog. überwachten Stellgröße af erweitert: 


ne = (už, ni), (4.1) 


wobei im Fehlerfall uf = Ø und sonst 7? = 0 ist. 


Durch die Auswertung der Alternativoptionen und dank der Fail-Safe- 
Trajektorie als Rückfallebene kann ein solcher Fehlerfall mittels Redundanz 
und Diversität im Arbitrationsschritt kompensiert werden (Abschnitte 4.2.3 
und 4.2.4). Da eine unzureichende Rechenzeit i.d.R. nicht permanent ist, 
sondern bspw. durch kurzfristige Konvergenzprobleme verursacht wird, 
sollen an dieser Stelle keine weiteren Maßnahmen zur Fehlerbehandlung 
oder -ausgrenzung getroffen werden. 


Durch die Eingrenzung der Latenz mittels Parallelisierung, den gleichzeitigen 
Einsatz von Ereignis- und Zeittriggern sowie die Festlegung und den Einsatz 
von Zeitschranken bei Funktionsaufrufen wird das Sicherheitsziel S4, nämlich 
eine unzureichende Planungsfrequenz zu vermeiden, erfüllt. 


4.2.3 Ausfallsicherheit durch Fehlerkompensation 


Einer der wesentlichen Beiträge dieser Arbeit besteht — wie in den Sicher- 
heitszielen S3 und S5 formuliert — darin, die Verhaltensarbitration gegen 
Ausfälle der Verhaltensbausteine und ungültige Stellgrößen abzusichern. 
Beide Risiken können als Fehlzustände angesehen werden, sodass auch 
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hier Maßnahmen aus dem Gebiet der zuverlässigen und fehlertoleranten 
Systeme (Abschnitt 2.4) Anwendung finden sollen. Die Fehlerdiagnose und 
-behandlung übernehmen dabei die jeweiligen Arbitratoren. Bei der Fehler- 
behandlung zahlt sich die konsequente Modularität und Entkopplung von 
Verhaltensbausteinen im Konzept der Verhaltensarbitration mittels Arbitra- 
tionsgraphen aus. Denn dadurch können Fehlzustände eingedämmt und eine 
drohende Fehlerfortplanzung verhindert werden. 


Redundanz und Diversität 


Die gängigste Variante der Fehlerbehandlung besteht in der Kompensation 
von Fehlern durch Redundanz und Diversität [Ech90]. Die Verhaltensarbitrati- 
on bietet eine ideale Struktur, um damit trotz potenziellen Funktionsausfällen 
von Verhaltensbausteinen ein sicheres Verhalten zu generieren. Zunächst sol- 
len die beiden Begriffe an einem einfachen Beispiel präzisiert werden, bevor 
sie im weiteren Verlauf dieses Abschnitts zum Einsatz kommen. 


Redundanz Bei der Redundanz wird eine Komponente vervielfältigt bzw. 
repliziert, ohne ihre Funktionsweise zu verändern. Im Fall der Verhal- 
tensarbitration wird hierzu ein Verhaltensbaustein mehrfach instanzi- 
iert und i. d. R. einem gemeinsamen Arbitrator zugewiesen. 


Diversität Die Diversität - oder auch funktionelle Redundanz - beschreibt 
hingegen eine Funktion mit mehreren verschiedenartig implementier- 
ten Komponenten bzw. Varianten abzudecken. In der Verhaltensarbitra- 
tion werden hierbei unterschiedliche Verhaltensbausteine, die die glei- 
che Verhaltenskompetenz adressieren, zum Arbitrationsgraphen hinzu- 


gefügt. 


In beiden Fällen erkennt eine übergeordnete Instanz, wenn sich die Ausgaben 
der Komponenten unterscheiden und kann bspw. in sog. 2-von-3-Systemen 
einzelne fehlerhafte Komponenten durch Mehrheitsentscheid kompensieren. 
Die Redundanz ist somit ein geeignetes Mittel gegen transiente als auch per- 
manente Fehlzustände. Die Diversität ist zwar aufwendiger zu realisieren, 
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kann aber zusätzlich auch systematische Funktionsausfälle einzelner Kom- 
ponenten ausgleichen. 


Im automatisierten Fahren bietet sich der Einsatz von Redundanz u.a. bei 
Verhaltensbausteinen an, die in der Trajektorienplanung randomisierte Ver- 
fahren oder Initialisierungen nutzen. Konvergiert dann bspw. die Optimie- 
rung eines Verhaltensbausteins aufgrund einer ungünstigen Initialisierung 
nicht, liefern die Replikate mit einer anderen Initialisierung evtl. dennoch 
eine valide Trajektorie. Diversität eignet sich hingegen, um auch Entwurfs- 
fehler in Verhaltensplanungsmethoden zu kompensieren. Scheitert bspw. der 
Frenet-basierte Planer eines Verhaltensbausteins an einer ungewöhnlichen 
Fahrbahngeometrie, kann ein anderer Verhaltensbaustein, der die Trajekto- 
rie im Euklidischen Raum berechnet, weiterhin gültige Stellgrößen erzeugen. 


Der Einsatz beider Maßnahmen innerhalb der Verhaltensarbitration ist 
schließlich ohne weiteres möglich. Zudem könnten spezielle Arbitratoren 
mit Voting-Strategie 2-von-3-Systeme umsetzen. In dieser Arbeit wird al- 
lerdings auf Voting-Mechanismen verzichtet und die Fehlerkompensation 
hauptsächlich mittels Diversität umgesetzt. 


Ausfall eines Verhaltensbausteins 


Zwar ist der Ausfall eines Verhaltensbausteins, bspw. in Form eines Progamm- 
absturzes, in den Auswirkungen vergleichbar mit einem Verhaltensbaustein 
von zu hoher Latenz bzw. einem der die Echtzeitanforderungen nicht erfüllt 
(vgl. Abschnitt 4.2.2). Allerdings ist ein unbehandelter Absturz permanent und 
kann somit systemkritisch werden. Daher sollen Ausfälle explizit erkannt und 
gesondert behandelt werden. 


Zur zuverlässigen Diagnose eines solchen Absturzes werden die Verhaltens- 
bausteine mit einem sog. Heartbeat überwacht. Hierbei sendet jeder Verhal- 
tensbaustein seinem übergeordneten Arbitrator in regelmäßigen Zeitabstän- 
den ein Signal, um anzuzeigen, dass er noch funktionsfähig ist. Bleibt dieser 
Heartbeat zu lange aus, kann der Arbitrator folglich davon ausgehen, dass der 
Verhaltensbaustein durch einen Absturz oder Verklemmung ausgefallen ist. 
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Wurde der Ausfall durch eine transiente Ursache ausgelöst, bspw. durch ei- 
nen unerwartet ungewöhnlichen Zustand des Umweltmodells, kann dieser 
möglicherweise durch einen Neustart des Verhaltensbausteins behoben wer- 
den. Durch die damit verbundene Reinitialisierung und die sich in der Zwi- 
schenzeit veränderte Verkehrssituation, wird der Verhaltensbaustein mit ho- 
her Wahrscheinlichkeit anschließend wieder funktionsfähig sein. 


Ist die Fehlerursache allerdings persistent oder tritt zu häufig auf, wird der 
ausgefallene Verhaltensbaustein aus der Liste der Verhaltensoptionen © ent- 
fernt, um den Fehler auszugrenzen. Dadurch wird unterbunden, dass dieser 
einen Platz in der Menge der parallel auszuwertenden Optionen B belegt und 
damit die Auswertung einer besseren, weiterhin funktionsfähigen Option ver- 
hindert. 


SH 


Verhalten A 


Verhalten B 
Lë Arbitrator 


Verhalten C 


Verhalten D 


Abbildung 4.2: Redundanz und Diversitat schützen den Arbitrationsgraphen vor Ausfallen von 
Verhaltensbausteinen (Fehlerkompensation). Ausgefallene Verhaltensbausteine 
werden zur Fehlerbehebung neu gestartet oder bei zu haufigen Ausfallen zur 
Fehlerausgrenzung deaktiviert. Beispiel im Bild: Das höchst priorisierte Verhal- 
ten A ist gerade ausgefallen und wird neu gestartet, Verhalten B wurde bereits 
wegen zu häufigen Ausfällen aus der Optionsliste des Arbitrators gestrichen, 
sodass dieser schließlich Verhalten C ausführt. 


In beiden Fällen - der Fehlerbehebung und -ausgrenzung - werden die Maß- 
nahmen allerdings erst zu einem späteren Planungsintervall wirksam. Der 
Neustart eines Verhaltensbausteins bspw. nimmt, je nach Komplexität der zu 
ladenden Planungskarte, mehrere Hundert Millisekunden in Anspruch. Da- 
her ist es für die zuverlässige Verhaltensentscheidung notwendig, mögliche 
Fehler bereits zum Zeitpunkt ihres Auftretens zu kompensieren. Hier zeigt 
sich einer der Vorteile von Arbitrationsgraphen: Mit vergleichsweise gerin- 
gem Mehraufwand können unterschiedliche Verhaltensbausteine, die diesel- 
ben Verhaltenskompetenzen adressieren, oder auch mehrfach die gleichen 
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Verhaltensbausteine als zusätzliche Verhaltensoptionen hinzugefügt werden. 
Die so realisierte Diversität und Redundanz ermöglicht es die Fehler ande- 
rer Verhaltensbausteine durch Auswertung von Alternativoptionen noch im 
betroffenen Planungsintervall zu kompensieren. Dank der Entkopplung der 
Verhaltensbausteine voneinander, hat ein Ausfall außerdem keinen Einfluss 
auf andere Verhaltensbausteine und setzt sich dank der Kapselung im Arbitra- 
tor nicht in der Verarbeitungskette fort. Abbildung 4.2 veranschaulicht diese 
Maßnahmen an einem einfachen Beispiel. 


Durch die Fehlerdiagnose mittels Heartbeat, Fehlerbehebung mittels Neustart 
des Verhaltensbausteins, Fehlerausgrenzung durch Entfernen des Verhaltens- 
bausteins und Fehlerkompensation durch Redundanz und Diversität wird das 
Sicherheitsziel S3 erreicht. 


Ungültige Stellgrößen 


Eine weitere mögliche Fehlerquelle sind ungültige oder nicht realisierbare 
Stellgrößen. Diese lassen sich, insbesondere bei Erprobungsfahrzeugen aus 
vielerlei Gründen nicht ausschließen. Zum einen führen bereits einfache Pro- 
grammierfehler, wie bspw. nicht sachgemäß normierte Quaternionen, zu un- 
gültigen Trajektorien. Zum anderen könnten die Soll-Trajektorien aus phy- 
sikalischen Gründen, also aufgrund der Fahrzeugkinematik oder der Fahrdy- 
namikgrenzen, nicht umsetzbar sein. 


Die Fehlerdiagnose wird sowohl bzgl. der Gültigkeit als auch der Realisierbar- 
keit (sowie der Sicherheit in Abschnitt 4.2.4) mittels Verifikation umgesetzt. 
Hierfür wird die von einem Verhaltensbaustein i im Intervall x zurückgege- 
bene Stellgröße uf mit dem Verifikator V überprüft: 


vK = V(ur) (4.22) 
=), (4.2b) 


wobei die geprüfte Stellgröße vý aus der überwachten Stellgröße n° aus Glei- 
chung (4.1) und einem Verifikationsergebnis vX € Nj besteht. 


77 


4 Sichere und fehlertolerante Verhaltensarbitration 


Die Verifikation wird modular in den drei Einzelschritten Vitti, Vealisierbar und 
Vicher durchgeführt und im Verifikator V vereint: 
V(uf) = EC Veealisierbar (UF ), Vicher(UF)) ` (4.3) 


Va prüft zunächst, ob die Trajektorie folgende Mindestanforderungen er- 


füllt: 


« Die Trajektorie ist im korrekten Bezugssystem definiert. 
« Die Trajektorie umfasst mindestens zwei Posen. 

e Mindestens eine der Posen liegt in der Zukunft. 

« Die Zeitabstände der Posen sind isochron. 

« Die Quaternionen der Posen sind normalisiert. 


Wird eine der Eigenschaften nicht erfüllt, gibt Yyaus(u7) € No einen entspre- 
chenden Fehlerwert zurück, sonst 0. 


Der Verifikator Vealisierbar prüft die Trajektorie mittels kinematischen Einspur- 
modell auf folgende Grenzwerte: 

e max. Geschwindigkeit, 

e max. Beschleunigung, 

e max. Ruck, 

e max. Lenkwinkel, 

e max. Drehrate und 

e max. Querbeschleunigung. 


Wird einer dieser Grenzwerte überschritten, gibt VWeatisierbar (U) E No eben- 
falls einen passenden Fehlerwert zurück, sonst 0. 
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Verhalten A 


Verhalten B J} 3 Arbitrator 


Verhalten C 


Abbildung 4.3: Ungültige Stellgrößen werden durch Verifikation vom Arbitrator erkannt und 
mittels Redundanz und Diversität kompensiert. Beispiel im Bild: Verhalten A mit 
höchster Priorität ist aktuell nicht anwendbar und Verhalten B hat eine ungültige 
Trajektorie zurückgegeben, sodass letztlich Verhalten C ausgeführt wird. 


Da solche Stellgrößen i.d.R. transiente Ursachen haben, ist keine Fehlerbe- 
hebung oder -ausgrenzung vorgesehen. Stattdessen werden ungültige oder 
nicht-realisierbare Trajektorien, wie beim Ausfall von ganzen Verhaltensbau- 
steinen, mittels Redundanz und Diversität von Verhaltensbausteinen kompen- 
siert, wie in Abb. 4.3 beispielhaft dargestellt. 


Folglich werden durch die Fehlerdiagnose mittels Verifikation und Fehlerkom- 
pensation durch Auswertung der Alternativoptionen ungültige oder nicht- 
realisierbare Manöver, wie durch das Sicherheitsziel S5 gefordert, erfolgreich 
verhindert. 


4.2.4 Verkehrssicherheit durch Verifikation 


Schließlich bildet das Sicherheitsziel S6, riskante, also unsichere Stellgrößen 
zu vermeiden, einen weiteren Kernbeitrag dieser Arbeit. Die Fehlerdia- 
gnose erfolgt mittels Verifikation im Arbitrator, wobei die Sicherheit einer 
Trajektorie in dieser Arbeit über die Erreichbare-Mengen-Analyse (vgl. Ab- 
schnitt 2.5.2) überprüft wird. Es sei an dieser Stelle jedoch angemerkt, dass 
das Arbitrationsverfahren methodenunabhängig ist und somit auch andere 
Verfahren zur Verhaltensverifikation verwendet werden können oder gar 
sollten. Wegen der weitreichenden Annahmen der Erreichbare-Mengen- 
Analyse wäre eine Methode zu bevorzugen, die weichere Annahmen trifft‘, 


Beispielsweise indem sie einigen Verkehrsteilnehmern, wie Bussen, erlaubt aus ihrem Fahr- 
streifen herauszuragen. 
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sowie mögliche Regelverstöße (engl. „incompliant behavior“) und eine dar- 
aus potenziell resultierende Unfallschwere berücksichtigt. Die Formulierung 
einer geeigneten Verifikationsmethode soll allerdings nicht Teil dieser Arbeit 
sein. Daher wird aus Gründen der Anschaulichkeit, guten Anwendbarkeit 
und Nachvollziehbarkeit die Erreichbare-Mengen-Analyse verwendet. 


Riskante Stellgrößen können bspw. dann entstehen, wenn ein Manöver zu 
knapp bemessen wurde (z.B. durch eine zu enge Lücke für einen Fahrstrei- 
fenwechsel), die zugrunde liegende Prädiktion den möglichen Verlauf der Sze- 
ne unvollständig oder zu optimistisch abgebildet hat oder Unsicherheiten wie 
Verdeckungen und begrenzte Sensorabdeckung nicht berücksichtigt wurden. 


Zur Diagnose, ob ein gegebenes Manöver sicher ist, wird die zugehörige 
Fail-Safe-Trajektorie X} aus Abschnitt 3.2.4 mit den Worst-Case-Belegungen 
Brvjexte aus dem Umweltmodell (Abschnitte 2.5.2 und 3.1) abgeglichen. 
Hierzu bestimmt der Verifikator V;che,(uU?) zunächst die zu erwartenden 
Ego-Belegungen der geplanten Fail-Safe-Trajektorie Bin = DEZ). Die- 
se werden für isochrone Zeitintervalle t = Ip, fl über den gesamten 
Planungshorizont | € [k,k + N] berechnet. Dabei werden die Posen der 
Fail-Safe-Trajektorie linear interpoliert, um von den diskreten Zeitschritten 
der Trajektorie auf kontinuierliche Zeitintervalle zu schließen. 


Anschließend wird für jedes Zeitintervall geprüft, ob sich die Ego-Belegung 
Br 


ego,i 


mit den Objekt-Worst-Case-Belegungen Die überschneidet: 
Ve Ik, k+ N] : © = Berti) N Bepjekte(A)- (4.4) 


Ist eine dieser Schnittmengen nicht leer, muss das Manöver als riskant ein- 
gestuft werden, sodass el?) E No einen entsprechenden Fehlerwert 
zurückgibt. Ist das Manöver nachweislich sicher, wird hingegen 0 zurück- 


gegeben. 


Dank Gleichung (3.2b) folgt aus einer erfolgreichen Verifikation der Fail-Safe- 
Trajektorie X*, dass auch die Soll-Trajektorie xř als sicher eingestuft wer- 
den kann. Denn sie stellt sicher, dass x und AT bis zum Ende des nachsten 
Planungsintervalls tgz identisch sind. Bei sicherer Fail-Safe-Trajektorie hat 
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daher auch die Soll-Trajektorie im Zeitintervall [t,, tx+,] keine Uberschnei- 
dungen mit den Objekt-Worst-Case-Belegungen. Sollte zudem im nächsten 
Planungsintervall x + 1 keine neue sichere Soll-Trajektorie gefunden werden, 
kann die bereits verifizierte Fail-Safe-Trajektorie X? das Fahrzeug in einen 
MRC bringen. 


Verhalten A 
Lë Arbitrator 


Verhalten B 


Abbildung 4.4: Durch Verifikation auf Basis der Erreichbare-Mengen-Analyse werden zu ris- 
kante Manöver abgefangen und über Diversität und Redundanz kompensiert. 
Beispiel im Bild: Verhalten A hat höchste Priorität, allerdings hält die Trajekto- 
rie dieses Verhaltens nicht der Verifikation stand. Somit wählt der Arbitrator das 
sicherere Verhalten B. 


Zur Fehlerbehandlung wird aufgrund der i.d.R. transienten Ursachen im 
Falle riskanter Stellgrößen ebenfalls auf Fehlerkompensation gesetzt. Sollte 
also u nicht nachweislich kollisionsfrei bzgl. der Worst-Case-Pradiktionen 
sein, prüft der Arbitrator seine Alternativoptionen oder fällt auf spezialisierte 
MRMs zurück. Ein Minimalbeispiel hierzu ist in Abb. 4.4 dargestellt. 


Somit führt die Verhaltensarbitration ausschließlich zugleich gültige, rea- 
lisierbare und beweisbar sichere Manöver aus, also solche deren Verifika- 
tionsergebnis v“ = (0,0,0)' ist. Dies kann entweder eine der im aktuellen 
Planungsintervall x evaluierten Optionen uf € A (vgl. Gleichung (2.3)) sein, 
wenn sie der Verifikation standhält, oder die bereits verifizierte Fail-Safe- 


wK—1 


Trajektorie des vorigen Planungsintervalls X*”" sein. 


Startet das Fahrzeug zudem in einem sicheren Zustand Zo, folgt die Ver- 
kehrssicherheit zum beliebigen Zeitpunkt x, durch Induktion, solange die 
Annahmen der Erreichbare-Mengen-Analyse erfüllt sind. Sollte eine die- 
ser Annahmen verletzt werden (weil bspw. ein Fußgänger unerwartet eine 
Straße kreuzt) und keine beweisbar sichere Option gefunden werden, wird 
dennoch die Fail-Safe-Trajektorie des vorigen Planungsintervalls als MRM 
ausgeführt, um das Risiko einer Kollision zu minimieren. Es kann sich zudem 
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anbieten für solche Fälle einen zusätzlichen noch konservativeren MRM 
Verhaltensbaustein zu entwerfen, der das Kollisionsrisiko ungeachtet dieser 
Annahmen minimiert. Schließlich muss der Arbitrator an der Wurzel des 
Graphen über mind. eine immer anwendbare Rückfalloption verfügen. Diese 
darf - als einzige Ausnahme - auch bei fehlgeschlagener Verifikation ausge- 
führt werden, damit das Sicherheitsziel S2, jederzeit ein MRM zur Verfügung 
zu stellen, erfüllt bleibt. 


Dank der Fehlerdiagnose mittels Verifikation durch Erreichbare-Mengen- 
Analyse und der Auswertung von Alternativoptionen zur Fehlerkompen- 
sation wird das Sicherheitsziel S6 schließlich — unter den Annahmen der 
Erreichbare-Mengen-Analyse - erfüllt. 


4.3 Systemiibersicht 


Dieser Abschnitt fasst die wesentlichen Beiträge dieses Kapitels zusammen. 
Insbesondere sei an dieser Stelle nochmals darauf hingewiesen, dass das vor- 
gestellte Sicherheitskonzept ebenso auf andere Domänen übertragbar ist und 
somit nicht auf die Anwendung des automatisierten Fahrens beschränkt ist. 
Die Verhaltensentscheidung mittels Arbitrationsgraphen ist ohnehin domä- 
nenunabhängig, sodass neben den anwendungsspezifischen Verhaltensbau- 
steinen, dem Umweltmodell und der Manöver- bzw. Stellgrößenrepräsenta- 
tion, lediglich die Verifikatoren V(uf) aus Gleichung (4.3) auf die jeweilige 
Domäne übertragen werden müssen. 


Entsprechend beschreibt Algorithmus 3 die Erweiterung des Arbitrationsver- 
fahrens zu einer sicheren und robusten Verhaltensarbitration mittels Stell- 
größenverifikation in einer möglichst generischen Form. Für eine gute Ver- 
gleichbarkeit ist die Formulierung hierbei an Algorithmus 1 angelehnt. Zu- 
nächst wird in Zeile 15 die aktuelle Situation s bestimmt. Ausgehend hiervon 
bestimmt der Wurzelarbitrator' seine beste anwendbare und sichere Aktion 
mit der Funktion BesteAnwendbareAktion(s). Hierzu filtert er aus seinen 


* Der Arbitrator an der Wurzel des Arbitrationsgraphen. 
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Algorithmus 3 : Generisches Arbitrationsverfahren mit Verifikation 


1 function Best eAnwendbareAkt ion (Situation s) 


2 Filtere anwendbare Optionen A C O 
3 Sortiere anwendbare Optionen A* = (dg, Qj, ...) = strategie(A) 
4 for a € A* do 
5 Bestimme Stellgröße ug = Akt iong(s) 
6 Führe Verifikation Vg = V(ua) durch 
7 if Verifikation bestanden Vg = O then 
8 | return (uq, Va) 
9 end 
10 end 
11 return (Ø, NO_SAFE_OPTION) 
12 end 


14 while true do 


15 Bestimme die aktuelle Situation s 

16 Bestimme v = (u, V) = BesteAnwendbareAktion(s) 
17 if Verifikation bestanden v = 0 then 

18 | Führe u aus 

19 end 

20 end 


Optionen’ O diejenigen Optionen A heraus, die in der Situation s anwend- 
bar sind. Diese wiederum sortiert er zu einer — je nach zugrundeliegender 
Strategie — absteigend sortierten Liste A". Nun wird für jede? Option a € A" 
geprüft, ob ihre Stellgröße u, = Akt iong(s) einer Verifikation VY(u,) stand- 
hält. Falls ja, wird diese als die bestmögliche anwendbare und zugleich sichere 
Option zurückgegeben. Besteht keine der Optionen den Verifikationsschritt, 
gibt der Arbitrator den Fehlerwert NO_SAFE_OPTION zurück. Gibt der Wur- 
zelarbitrator schließlich eine Aktion u zurück, die die Verifikation bestanden 
hat, kann diese - unter Vorbehalt der Annahmen des verwendeten Verifika- 
tors V - ausgeführt werden. 


1 Jede Option kann, wie bereits im klassischen Arbitrationsverfahren, ein Verhaltensbau- 
stein oder wiederum selbst ein Arbitrator sein. Solche untergeordneten Arbitratoren bestim- 
men ihre bestmögliche Option ebenfalls wie in der Funktion BesteAnwendbareAktion(s) 
beschrieben. 

? Die Logik zur parallelen Auswertung von insgesamt nur Nyeste besten anwendbaren Optionen 
B C A C O aus Abschnitt 4.2.2 wurde an dieser Stelle vereinfachend durch eine sequenzielle 
Auswertung aller anwendbaren Optionen A C O ersetzt. 
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Verhalten A 


Verhalten B 
LS Arbitrator U, 


Verhalten C Lë Arbitrator w 


Verhalten D 


Abbildung 4.5: Beispielgraph fiir eine sichere und robuste Verhaltensarbitration. Verhalten A 
kann die Echtzeitanforderungen nicht erfüllen, Verhalten B ist in der aktuellen 
Situation nicht anwendbar und Verhalten C ist zu riskant, sodass Verhalten D 
(wegen seines höheren Nutzens gegenüber Verhalten E) ausgewählt und ausge- 
führt wird. 


$ Arbitrator U, 


Abbildung 4.5 veranschaulicht das Konzept an einem Beispiel mit dem Wur- 
zelarbitrator ARBITRATOR W, zwei untergeordneten Arbitratoren ARBITRA- 
TOR U] und U, sowie fünf Verhaltensbausteinen Verhalten A bis E. Die Optio- 
nen Verhalten A, C, D und E sind in der aktuellen Situation anwendbar, wobei 
Verhalten A höchste und Verhalten C zweithöchste Priorität hat und zudem 
Verhalten D höheren Nutzen gegenüber Verhalten E hat. Der Wurzelarbitra- 
tor ARBITRATOR W wertet zur Reduktion von Latenzen die drei vielverspre- 
chendsten Optionen (nämlich Verhalten A, C und D) aus. Verhalten A liefert 
allerdings nicht rechtzeitig ein Ergebnis und verfehlt damit die Echtzeitanfor- 
derungen. Verhalten C gibt zwar rechtzeitig eine Trajektorie zurück, allerdings 
ist diese laut Verifikation zu riskant. Verhalten D liefert jedoch rechtzeitig eine 
gültige, realisierbare und sichere Trajektorie, sodass diese schließlich ausge- 
führt wird. 
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Anwendung 


Wahrend die NHTSA und Waymo bereits zahlreiche Verhaltenskompeten- 
zen definierten [Way20a], stellt Abschnitt 5.1 vor, wie Verhaltensbausteine 
entworfen werden können, um eine Auswahl grundlegender Fahrmanöver 
für das automatisierte Fahren im urbanen Raum zu realisieren. Abschnitt 5.2 
beschreibt die Verhaltensbausteine der Rückfallebenen, die für eine robuste 
und sichere Verhaltensarbitration von wesentlicher Bedeutung sind. Kapitel 6 
wird daraufhin aufzeigen, wie diese in Arbitrationsgraphen eingebettet wer- 
den und schließlich in der Praxis Anwendung finden. 


5.1 Grundlegende Fahrmanöver 


Die hier vorgestellten Verhaltensbausteine wurden insbesondere auf die Be- 
fahrung der Karlsruher Adenauer-Route mit dem Erprobungsfahrzeug Bertha 
ausgelegt (weitere Details siehe Abschnitt 6.1), sind im Allgemeinen jedoch 
auch auf andere Strecken und Fahrzeuge übertragbar. Die Verhaltensbaustei- 
ne sind folglich geografisch auf die zuvor festgelegte Strecke und, um eine hin- 
reichende Qualität der Lokalisierung und Umgebungserfassung zu gewähr- 
leisten, bzgl. Umweltbedingungen auf sonnig trockenes Wetter bis einschließ- 
lich gemäßigten Regen bei Tag beschränkt. Aus Gründen der Übersichtlich- 
keit wird im Folgenden darauf verzichtet, diesen auf alle Verhaltensbausteine 
zutreffenden Teil der ODDs in den jeweiligen Start- und Fortsetzungs-Bedin- 
gungen zu wiederholen. 
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5.1.1 Ausparken 


Die Fahrt eines automatisierten Fahrzeugs beginnt i. d. R. mit dem Ausparken 
aus einer Parklücke oder Garage. Ziel des Ausparkens ist es, das Fahrzeug 
in eine geeignete Pose auf einen Fahrstreifen zu bewegen, damit die Fahrt 
anschließend ausgehend von diesem Fahrstreifen beginnen kann. Dieser sog. 
Startfahrstreifen ist entweder vorab definiert worden oder muss ausgehend 
von der Parkpose dynamisch bestimmt werden. 


Bei großen Parkplätzen oder gar Parkhäusern, wie sie bspw. am Einzelhandel, 
an Flughäfen und Stadien zu finden sind, bezieht sich der Startfahrstreifen auf 
einen ggf. virtuellen Fahrstreifen innerhalb des Parkplatzes. Somit sind noch 
weitere Verhaltensbausteine notwendig, die das Fahrzeug nach dem Auspar- 
ken aus der Parklücke über den Parkplatz navigieren und schließlich in den 
Straßenverkehr einfädeln. Auf jene weiteren Verhaltensbausteine soll in die- 
sem Abschnitt allerdings nicht weiter eingegangen werden. Abbildung 5.1 


veranschaulicht entsprechend das Ausparken aus einer Parklücke parallel zur 
Fahrbahn. 


eo 


Abbildung 5.1: Ausparken aus einer parallel zur Fahrbahn angeordneten Parklücke. Zum siche- 
ren Ausparken in die rot gekennzeichnete Zielpose muss mind. die gelb markier- 
te Fläche einsehbar sein. Dadurch kann sichergestellt werden, dass die notwen- 
dige Rangierfläche frei ist und kein herannahender Verkehr im Startfahrstreifen 
gefährdet wird. Eine mögliche Soll-Trajektorie ist in Blau dargestellt, der Fahrt- 
richtungsanzeiger kündigt das Manöver an. 


Start-Bedingung 


Wie in Abschnitt 3.2.3 diskutiert, leiten sich die Start- und Fortsetzungs-Be- 
dingungen im automatisierten Fahren von den ODDs des Verhaltens ab. Der 
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Verhaltensbaustein zum Ausparken ist folglich unter folgenden Bedingungen 
anwendbar: 


Start-Bedingung zum Ausparken 


Der Verhaltensbaustein zum Ausparken kann aufgerufen werden, wenn 


e das Ego-Fahrzeug im Stillstand ist, 


e sich auf einem Parkplatz oder einer anderweitigen Freifläche befindet, die 
unmittelbar an den Startfahrstreifen angrenzt, 


e es zudem von einer freien, hinreichend großen Rangierfläche umgeben ist 
und 


e der zum Rangieren notwendige Bereich, einschließlich eines hinreichend 
langen Teil des Startfahrstreifens, einsehbar und 


e frei von anderen Verkehrsteilnehmern ist. 


Die notwendige Rangierfläche hängt dabei von den Fahrzeugdimensionen, ki- 
nematischen Grenzen wie des maximalen Lenkwinkels, der Start- und End- 
pose sowie der verwendeten Methode zur Pfadplanung ab. Wie weit zudem 
der Startfahrstreifen einsehbar sein muss, hängt von der dort zugelassenen 
Höchstgeschwindigkeit ab, um es einem ggf. herannahenden Fahrzeug zu er- 
möglichen rechtzeitig zum Stillstand zu kommen. Nimmt man in einer 30er- 
Zone bspw. eine zumutbare Bremsbeschleunigung von 1 = an, müssen mind. 


EEN (5.1) 


einsehbar sein. Bezieht man noch eine Reaktionszeit von 1s an, erhöht sich 
der Sicherheitsabstand auf 34,4m + 8,3 m = 42,7 m. 


Da die Sicherheit der Einparktrajektorie im Rahmen des Sicherheitskonzepts 
überprüft wird (Abschnitt 4.2.4), bilden die Start- und Fortsetzungs-Bedin- 
gungen an dieser Stelle nur eine heuristische Einschatzung ab. Um allerdings 
zu vermeiden, dass die Verifikation Einparktrajektorien regelmäßig aufgrund 
von zu optimistischen Start- und Fortsetzungs-Bedingungen ablehnen muss, 
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sollten die in den Verhaltensbausteinen eingesetzten Sicherheitsabstande 
großzügig bemessen werden. 


Fortsetzungs-Bedingung 


Die Fortsetzungs-Bedingung zum Ausparken orientiert sich stark an der Start- 
Bedingung, wobei sie den Einparkvorgang beendet, sobald die Zielpose nähe- 
rungsweise erreicht wurde: 


Fortsetzungs-Bedingung zum Ausparken 


Der Verhaltensbaustein zum Ausparken sollte fortgesetzt werden, solange 


e sich das Ego-Fahrzeug auf einem Parkplatz, einer anderweitigen Freifläche, 
die unmittelbar an den Startfahrstreifen angrenzt, oder dem Startfahrstreifen 
selbst befindet, 

e der zum Rangieren notwendige Bereich, einschließlich eines hinreichend 


langen Teil des Startfahrstreifens, einsehbar und 


e frei von anderen Verkehrsteilnehmern ist und 


e die Zielpose nicht hinreichend genau erreicht worden ist. 


Verhaltensgenerierung 


Gegeben einer Start- und Zielpose steht eine Vielzahl von Methoden zur Pfad- 
oder Trajektorienplanung zur Verfügung. Eine Übersicht zu Trajektorienpla- 
nern für das Ein-/Ausparken gibt u.a. [Ban17]. 


Bspw. nutzt [Sch16] einen dreistufigen Ansatz, um möglichst einfache und 
platzsparende Trajektorien zu generieren. Im ersten Schritt werden Start- und 
Zielpose unter Anwendung der Reeds-Shepp Vorschriften [Ree90] verbunden. 
So entsteht ein Pfad aus zwei Liniensegmenten, die ohne Richtungswechsel 
mit einem Kreissegment verbunden sind. Ist dieser Pfad nicht realisierbar, 
wird im zweiten Schritt ein ebenfalls deterministischer Reeds-Shepp Pfad mit 
zwei Richtungswecheln bestimmt. Führt auch dieser nicht kollisionsfrei zur 
Zielpose, wird der Pfad mittels Hybrider A*-Graphensuche [Dol10] ermittelt. 
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[Ban18] erweitert die Pfadplanung mittels A*-Graphensuche und Bewegungs- 
primitiven um Unsicherheiten insbesondere in der Lokalisierung und Rege- 
lung, sodass auch in beengten Räumen sichere Trajektorien robust generiert 
werden. 


Für die Anwendung im Realversuch ist folglich der dreistufige Ansatz aus 
[Sch16], mit der Erweiterung um Unsicherheiten aus [Ban18] zu empfehlen. 


Abgesehen von der Soll-Trajektorie ist beim Ausparken wichtig, als Teil der 
HMI den Fahrtrichtungsanzeiger richtig zu setzen. Eine beispielhafte Soll- 
Trajektorie samt Fahrtrichtungsanzeiger ist in Abb. 5.1 veranschaulicht. 


5.1.2 Einparken 


Zum Schluss einer Fahrt soll das Fahrzeug meist in einer Parklücke oder Gara- 
ge, bei einem Mobilitätsdienst zumindest vorübergehend in einer Haltebucht, 
geparkt werden. Ausgehend von der Haltepose im letzten Fahrstreifen der 
Route, dem sog. Zielfahrstreifen, und einer angestrebten Zielparkpose wird 
eine Einparktrajektorie bestimmt. Dabei wurde die Zielparkpose entweder 
bereits festgelegt oder muss dynamisch bestimmt werden. Auf großen Park- 
plätzen oder in Parkhäusern wird dem Einparkvorgang die Parkplatzsuche als 
eigener Verhaltensbaustein vorangestellt, wobei hierauf im Folgenden nicht 
näher eingegangen wird. Stattdessen stellt Abb. 5.2 das Einparken in eine par- 
allel zur Fahrbahn angeordnete Parklücke dar. 


(«9 


WE 


Abbildung 5.2: Im Zielfahrstreifen angekommen, soll das Ego-Fahrzeug in die gewählte Parklü- 
cke mit in rot dargestellter Zielpose einparken. Die gelb hervorgehobene Fläche 
muss einsehbar und frei von Hindernissen sein, um ein sicheres Rangieren zu 
ermöglichen. Eine bspw. mittels Reeds-Shepp bestimmte Soll-Trajektorie ist in 
Blau dargestellt, während der Fahrtrichtungsanzeiger zum Einparken blinkt. 
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In ihren Start- und Fortsetzungs-Bedingungen sowie der Verhaltensgenerie- 
rung ähnelt das Einparkverhalten stark dem im vorigen Abschnitt beschrie- 
benen Verhaltensbaustein zum Ausparken. 


Start-Bedingung 


Muss zum Einparken, bspw. in eine direkt an den Zielfahrstreifen angrenzen- 
de Parkliicke, kein anderer Fahrstreifen gekreuzt werden, vereinfacht sich im 
Vergleich zum Ausparken die Start-Bedingung. In diesem Fall muss lediglich 
die Rangierflache einsehbar und frei sein: 


Start-Bedingung zum Einparken 


Der Verhaltensbaustein zum Einparken kann aufgerufen werden, wenn 


e das Ego-Fahrzeug nahezu im Stillstand ist, 


e sich auf einem Zielfahrstreifen befindet, der unmittelbar an einen Parkplatz 
oder eine anderweitige zum Parken geeignete Freifläche grenzt, 


e es zudem von einer hinreichend großen Rangierfläche umgeben ist und 


e diese einsehbar sowie 


e frei von anderen Verkehrsteilnehmern ist. 


Fortsetzungs-Bedingung 


Die Fortsetzungs-Bedingung vereinfacht sich ebenfalls im Vergleich zum Aus- 
parken: 


Fortsetzungs-Bedingung zum Einparken 


Der Verhaltensbaustein zum Einparken sollte fortgesetzt werden, solange 
e sich das Ego-Fahrzeug weiterhin auf dem Zielfahrstreifen oder dem 
angesteuerten Parkplatz bzw. der angesteuerten Parkfläche befindet, 
e der zum Rangieren notwendige Bereich einsehbar und 


+ frei von anderen Verkehrsteilnehmern ist sowie 


e die angestrebte Zielparkpose nicht hinreichend genau erreicht worden ist. 
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Verhaltensgenerierung 


Für die Pfadplanung zum Einparken eignen sich Methoden wie sie in Ab- 
schnitt 5.1.1 vorgestellt wurden. Darunter fallen u. a. deterministische Reeds- 
Shepp Pfade sowie die Hybride A*-Graphensuche. 


Anschließend kann das Längsverhalten entlang des so bestimmten Pfades 
bspw. mittels Direkter Optimierung eines Mehrfachintegrators unter quadra- 
tischen Kosten bestimmt werden [Pek18]. 


Analog zum Ausparken muss auch beim Einparken der Fahrtrichtungsanzei- 
ger als Teil der HMI gesetzt werden. Abbildung 5.2 visualisiert eine Beispiel- 
trajektorie und den entsprechend aktivierten Fahrtrichtungsanzeiger. 


5.1.3 Folgefahrt 


Die Folgefahrt, also einem Fahrstreifen und dem darin ggf. vorausfahrenden 
Verkehr zu folgen, bildet die Grundlage des geregelten Straßenverkehrs. Sie 
gehört zugleich zu den zeitlich betrachtet häufigsten und entsprechend auch 
zu den am besten untersuchten Fahrmanövern [Win15, Bar15]. 


Unter kontrollierten Bedingungen, also bei u.a. wohldefinierten Fahrstreifen 
wie bspw. auf Autobahnen, wird die Längsregelung zur Folgefahrt bereits 
seit 1995 in Serienfahrzeugen als Assistenzsystem verbaut (genannt Adaptive 
Cruise Control (ACC)) [Win15]. Das erste vollwertige Level 3 System wird 
hingegen voraussichtlich erst 2022 Serienreife erreichen. Dann soll der, auf 
zunächst 60 beschränkte, sog. DRIVE PILOT, die Quer- und Längsführung 
auf Autobahnen übernehmen können [Mer21, Gre21a]. 


Bei der Folgefahrt im urbanen Raum, müssen im Längsverhalten zusätzlich 
zu vorausfahrendem Verkehr Stopp- und Haltelinien berücksichtigt werden, 
auch wenn spezialisierte Verhalten existieren sollten, die diese Halte- und Vor- 
fahrtmanöver adressieren. Dadurch wird zum einen vermieden diese Stopp- 
und Haltelinien zu schnell anzufahren bis ein entsprechender Spezialbaustein 
ausgeführt wird. Zum anderen wird hiermit insbesondere sichergestellt, dass 
der Verhaltensbaustein zur Folgefahrt auch selbst an diesen (ggf. virtuellen) 
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Halte- und Stopplinien anhalt und somit das Fahrzeug unabhangig von ande- 
ren Verhaltensbausteinen in einen MRC bringen kann. 


Start-Bedingung 


Zur Folgefahrt orientiert sich das Ego-Fahrzeug am aktuellen Fahrstreifen, 
der entweder aus Sensordaten erfasst wurde oder aus einer Planungskarte 
bekannt ist. Im Langsverhalten kann die Folgefahrt sowohl mit als auch oh- 
ne vorausfahrenden Verkehr durchgeführt werden, sodass sich hieraus keine 
weiteren Einschränkungen an die Start-Bedingung ergeben: 


Start-Bedingung zur Folgefahrt 


Der Verhaltensbaustein zur Folgefahrt kann aufgerufen werden, solange 


e sich das Ego-Fahrzeug innerhalb eines Fahrstreifens der Route befindet, 


e unabhängig davon, ob andere Fahrzeuge im selben Fahrstreifen 


vorausfahren oder nicht. 


Fortsetzungs-Bedingung 


Die Folgefahrt kann immer dann fortgesetzt werden, wenn sich das Ego- 
Fahrzeug in einem Fahrstreifen der Route befindet. Da eben dies die Aufgabe 
der Folgefahrt ist, nämlich das Ego-Fahrzeug im Fahrstreifen zu halten, und 
keine sonstigen Anforderungen zum Fortsetzen der Folgefahrt erfüllt sein 
müssen, sollte der Verhaltensbaustein also i.d.R. immer fortgesetzt wer- 
den können. Als Vorsichtsmaßnahme wird in der Fortsetzungs-Bedingung 
dennoch geprüft, ob sich das Fahrzeug weiterhin im Fahrstreifen befindet. 


Eine interessante Fragestellung betrifft das Ende eines Fahrstreifens: Soll die 
Folgefahrt auch dann aufrufbar sein oder fortgesetzt werden können, wenn 
der Fahrstreifen in Kürze endet? Soll also der Verhaltensbaustein zur Folge- 
fahrt auch ein notwendiges Haltemanöver am Ende eines Fahrstreifens um- 
setzen? Eine Option wäre spezielle Verhaltensbausteine für solche Haltema- 
növer zu entwerfen, die am Ende des Fahrstreifens mit höherer Priorität über- 
nehmen. Analog zur den Stopp- und Haltelinien innerhalb eines Fahrstreifens 
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werden in dieser Arbeit allerdings auch Haltemanöver am Ende eines Fahr- 
streifens als Teil der Folgefahrt realisiert. Somit bringt der Verhaltensbaustein 
Folgefahrt das Fahrzeug am Ende eines Fahrstreifens zum Halten und kann 
aktiv bleiben bis ein anderer Verhaltensbaustein ausgeführt wird: 


Fortsetzungs-Bedingung zur Folgefahrt 


Die Fortsetzungs-Bedingung des Verhaltensbausteins zur Folgefahrt stimmt mit sei- 
ner Start-Bedingung überein. Er kann also fortgesetzt werden, solange 
e sich das Ego-Fahrzeug innerhalb eines Fahrstreifens der Route befindet, 


e unabhängig davon, ob andere Fahrzeuge im selben Fahrstreifen 
vorausfahren oder nicht. 


Verhaltensgenerierung 


Zur Verhaltens- und Trajektorienplanung der Folgefahrt wird zunächst, ab- 
hängig von der aktuellen Position und der gewählten Route, der aktuelle Fahr- 
korridor bestimmt. Hierzu werden ausgehend von dem aktuellen Ego-Lanelet 
aufeinander folgende Lanelets konkateniert solange sie der Route folgen und 
innerhalb des Planungshorizonts liegen. Innerhalb dieses Korridors wird dar- 
aufhin ggf. unter Zuhilfenahme der Korridormittellinie die Soll-Trajektorie 
bestimmt. Hierzu eignet sich bspw. die Nichtlineare Optimierung, wie in Ab- 
schnitt 2.3.3 beschrieben. Abbildung 5.3 veranschaulicht zusammenfassend 
wie aus den grauen Lanelets ein Fahrkorridor in Blau bestimmt wird und hier- 
aus, unter Berücksichtigung des vorausfahrenden Fahrzeugs, schließlich eine 
blau gestrichelte Soll-Trajektorie geplant wird. 
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pn Wi 


Abbildung 5.3: Die Folgefahrt halt das Ego-Fahrzeug im Fahrstreifen bzw. -korridor (blau unter- 
legt) und beriicksichtigt vorausfahrenden Verkehr sowie Halte- und Stopplinien. 
Die zugrunde liegenden Lanelets sind grau gestrichelt dargestellt, die entspre- 
chende Soll-Trajektorie ist blau gestrichelt. 


Der Einbezug der Haltemanöver in den Verhaltensbaustein zur Folgefahrt 
führt bspw. am Ende der Route dazu, dass die Folgefahrt das Fahrzeug zum 
Halten bringt und anschließend das Einparkverhalten übernehmen kann. Ab- 
bildung 5.4 verdeutlicht eine solche Szene. Die Route endet in diesem Beispiel 
neben der Zielparklücke. Infolge dessen kommt die rote Soll-Trajektorie am 
Ende des ebenfalls dort endenden Fahrkorridors zum Stehen. 


Abbildung 5.4: Am Ende der Route wird der Fahrkorridor trotz nachfolgender Lanelets abge- 
schnitten. So wird erreicht, dass die Soll-Trajektorie der Folgefahrt (blau) dort 
zum Stehen kommt und bspw. ein Einparkmanöver übernehmen kann. 


An Stellen, an welchen ein Fahrstreifenwechsel notwendig ist, aber aktuell 
bspw. wegen starkem Verkehrsaufkommen nicht ausgeführt werden kann, 
endet der Fahrkorridor der Folgefahrt virtuell an der letztmöglichen Positi- 
on zum Fahrstreifenwechsel, wie in Abb. 5.5 dargestellt. Dadurch wird der 
Verhaltensbaustein zur Folgefahrt die Geschwindigkeit reduzieren und nicht 
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an der angepeilten Ausfahrt vorbeifahren. Sollte der Fahrstreifenwechsel den- 
noch nicht rechtzeitig gelingen, kann es, je nach Verkehrsaufkommen, sinn- 
voll sein nach einer Weile die Route neu zu planen, um ein Blockieren der 
Fahrbahn zu vermeiden. 
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Abbildung 5.5: Ist zum Folgen der Route ein Fahrstreifenwechsel notwendig, wird der Fahrkor- 
ridor der Folgefahrt an der letztmöglichen Stelle abgeschnitten, an welcher noch 
ein Fahrstreifenwechsel möglich ist. 


5.1.4 Kreuzung passieren 


An Ein- und Ausfahrten, Fußgängerüberwegen, Kreuzungen sowie Engstellen 
muss die Vorfahrt anderer Verkehrsteilnehmer berücksichtigt werden. Diese 
Vorfahrtsituationen sind in der Praxis entweder implizit durch Verkehrsre- 
geln wie der sog. Rechts vor Links Regel’ und der Vorschrift bzgl. abgesenkten 
Bordsteinen’ oder explizit durch Verkehrszeichen bzw. Fahrbahnmarkierun- 
gen geregelt. Wie in Abschnitt 3.1 erläutert, sind eben jene Verkehrs- und 
Vorfahrtsregeln in der Planungskarte, auf die der Verhaltensbaustein zugrei- 
fen kann, abgebildet. 


Da die Folgefahrt bereits an den vorfahrtsbezogenen Stopp- und Haltelini- 
en hält, wird die Aufgabe des Haltens an dieser Stelle tatsächlich dem Ver- 
haltensbaustein Folgefahrt überlassen. Darüber hinaus übernimmt Kreuzung 


„An [nicht besonders geregelten] Kreuzungen und Einmiindungen hat die Vorfahrt, wer von 
rechts kommt“ (§8 Absatz 1 Satz 1 StVO) 

„Wer [...] über einen abgesenkten Bordstein hinweg auf die Fahrbahn einfahren [...] will, hat 
sich dabei so zu verhalten, dass eine Gefährdung anderer Verkehrsteilnehmer ausgeschlossen 
ist; erforderlichenfalls muss man sich einweisen lassen“ (§10 Satz 1 StVO) 


D 
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passieren allerdings die Entscheidung, ob die Vorfahrt hinreichend gewährt 
wurde und die Kreuzung! nun sicher und legal passiert werden kann. Dabei 
unterscheidet sich Kreuzung passieren im Querverhalten nicht von Folgefahrt, 
deaktiviert allerdings im Längsverhalten die betreffende virtuelle Haltelinie, 
um sie zu queren. 


Alternativ hätte ein Verhaltensbaustein entworfen werden können, der so- 
wohl den Haltevorgang sowie das anschließend sichere Passieren der Hal- 
telinie durchführt. In diesem Falle wäre für den Anwender allerdings nicht 
ersichtlich wann und warum die Haltelinie passiert wird. Mit Kreuzung passie- 
ren ist die Entscheidungsgrundlage hingegen explizit in der Start-Bedingung 
definiert, was zu einer guten Nachvollziehbarkeit beiträgt. Zudem ist in die- 
sem Fall am Arbitrationsgraphen bzw. am aktuell aktiven Verhaltensbaustein 
erkennbar, wenn die Kreuzung bzw. Haltelinie passiert werden soll. Abb. 5.6a 
und 5.6b vergleichen zur Veranschaulichung Folgefahrt und Kreuzung passie- 
ren an derselben Szene. 


Start-Bedingung 


Auf Basis der Planungskarte prüft Kreuzung passieren, ob der Ego-Fahrstreifen 
innerhalb des Planungshorizonts mit anderen Fahrstreifen in Konflikt steht 
und ob zu erwarten ist, dass vorfahrtsberechtigte Verkehrsteilnehmer die zu- 
gehörige Konfliktzone passieren werden. Abbildung 5.6b veranschaulicht eine 
Beispielszene, wobei die rot markierte Fläche die zu berücksichtigende Kon- 
fliktzone kennzeichnet. In Gelb ist außerdem der Bereich markiert, der min- 
destens einsehbar sein muss, um die Situation sicher einschätzen zu können. 
Wie groß bzw. lang diese Fläche sein muss, hängt ähnlich zum Ausparken in 
Abschnitt 5.1.1 von der zulässigen Maximalgeschwindigkeit in diesem Fahr- 
streifen und der zumutbaren Bremsbeschleunigung ab. 


* Einschließlich Ein- und Ausfahrten, Fußgängerüberwegen sowie Engstellen. 
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conflict 
~~ area 


899 R ® Dep 


(a) Die Folgefahrt (Abschnitt 5.1.3) halt immer auch an vorfahrtsbezogenen Haltelinien. 
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(b) Erst wenn der gelb markierte Bereich einsehbar und die rot gefärbte Konfliktzone frei von Prädiktionen 
vorfahrtsberechtigter Verkehrsteilnehmer ist, kann die Kreuzung sicher und legal passiert werden, sodass 
Kreuzung passieren anwendbar wird. 


Abbildung 5.6: Kreuzung passieren übernimmt die Entscheidung, ob und wann die Kreuzung 
passiert werden kann. 
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Bei mehreren aufeinander folgenden Vorfahrtszenarien betrachtet Kreuzung 
passieren nur die Vorfahrtsituation der nachstliegenden Haltelinie (im Folgen- 
den als aktuelle Haltelinie bezeichnet). So wird eine Haltelinie nach der an- 
deren passiert, ohne Gefahr zu laufen eine nachfolgende Haltelinie zu schnell 
anzusteuern oder gar unberechtigt zu überqueren. 


Start-Bedingung zum Passieren einer Kreuzung 


Der Verhaltensbaustein Kreuzung passieren kann aufgerufen werden, wenn 
e sich das Ego-Fahrzeug innerhalb eines Fahrstreifens der Route befindet, 
e sich im vor dem Ego-Fahrzeug gelegenen Fahrkorridor eine Haltelinie mit 
zugehörigen vorfahrtsberechtigten Fahrstreifen befindet, 
e diese Fahrstreifen hinreichend weit einsehbar sind und 


e die zugehörigen Konfliktzonen frei von Prädiktionen vorfahrtsberechtigter 
Verkehrsteilnehmer sind. 


Fortsetzungs-Bedingung 


Solange kein Verkehrsteilnehmer die Kreuzung unerwartet schnell erreichen 
könnte, um sein Vorfahrtsrecht doch einzufordern, kann und sollte Kreuzung 
passieren fortgesetzt werden, auch um ein Blockieren der Kreuzung zu ver- 
meiden. Um jedoch ein oszillierendes Verhalten bei Objekten an der Entschei- 
dungsgrenze zu vermeiden, sollte die Entscheidungsgrenze der Fortsetzungs- 
Bedingung im Stil einer Hysterese näher an der Kreuzung liegen als die der 
Start-Bedingung. 
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Fortsetzungs-Bedingung zum Passieren einer Kreuzung 


Der Verhaltensbaustein Kreuzung passieren sollte fortgesetzt werden, solange 


e sich das Ego-Fahrzeug innerhalb eines Fahrstreifens der Route befindet, 
e die zur aktuellen Haltelinie zugehörigen vorfahrtsberechtigten Fahrstreifen, 


unter Berücksichtigung einer Hysterese, hinreichend weit einsehbar sind, 

e die aktuelle Haltelinie samt entsprechender Konfliktzonen noch nicht 
überquert wurden und 

e keine der Prädiktionen vorfahrtsberechtigter Verkehrsteilnehmer erwarten 
lässt, dass ein solcher Verkehrsteilnehmer eine Konfliktzone erreicht bevor 


das Ego-Fahrzeug sie verlassen hat. 


Verhaltensgenerierung 


Den Fahrkorridor bestimmt Kreuzung passieren wie der Verhaltensbaustein 
zur Folgefahrt, d h. durch Aneinanderkettung aufeinander folgender Lanelets, 
mit dem Unterschied, dass der Korridor anschließend nicht an der aktuel- 
len Haltelinie abgeschnitten wird. An darauf folgenden Stopp- und Halte- 
linien wird der Korridor wiederum regulär abgeschnitten. Ein resultieren- 
der Beispielkorridor wird in Abb. 5.6b einschließlich der zugehörigen Soll- 
Trajektorie dargestellt. 


5.1.5 Gefahrenstelle langsam queren 


Nähert sich das Fahrzeug einer Gefahrenstelle ist es angebracht, diese, solange 
sie nicht vollständig blockiert ist, nur mit reduzierter Geschwindigkeit zu pas- 
sieren. Als Gefahrenstelle gilt bspw. eine Baustellenausfahrt, ein mit Warn- 
dreieck gekennzeichneter Unfallbereich oder auch freie Fußgängerüberwege!". 


Die entsprechende Ziel-Geschwindigkeit ist dabei abhängig von der zulässi- 
gen Maximalgeschwindigkeit, den aktuellen Wahrnehmungsgrenzen und der 


* Solange sich VRUs in der Nähe eines Fußgängerüberweges aufhalten, übernimmt das Vorfahrt 
gewähren Manöver aus Abschnitt 5.1.4. 
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Pradiktionsunsicherheit. Abgesehen davon unterscheidet sich die Manöver- 
beschreibung allerdings nicht von der Folgefahrt, sodass der Verhaltensbau- 
stein Gefahrenstelle langsam queren als Spezialisierung des Verhaltensbau- 
steins Folgefahrt entworfen werden kann. Damit nutzt man die Modularität 
und Wiederverwendbarkeit der Verhaltensbausteine aus, welche zu den we- 
sentlichen Stärken des Arbitrationsverfahrens zählen. Während Folgefahrt ei- 
ne robuste Basis liefert, können darauf aufbauend beliebige Spezialverhalten 
implementiert werden, die gezielte Szenarien adressieren. Dies dient u.a. ei- 
ner besseren Wartbarkeit der Verhaltensbausteine, aber auch einer höheren 
Transparenz welches Manöver aktuell ausgeführt wird. 


Start-Bedingung 


Die Start-Bedingung des Verhaltensbausteins Gefahrenstelle langsam queren 
prüft zusätzlich zur Start-Bedingung der Folgefahrt, ob innerhalb des Pla- 
nungshorizonts des aktuellen Fahrstreifens eine Gefahrenstelle vorliegt: 


Start-Bedingung zum Oueren einer Gefahrenstelle 


Der Verhaltensbaustein zum Queren einer Gefahrenstelle kann aufgerufen werden, 


sobald 
e sich das Ego-Fahrzeug innerhalb eines Fahrstreifens der Route befindet, 
e sich eine Gefahrenstelle im Fahrkorridor befindet und 
e die Fahrbahn zugleich nicht vollständig blockiert ist bzw., 


e im Falle eines Fußgängerüberweges, keine VRUs im Umfeld sind. 


Fortsetzungs-Bedingung 


Die Fortsetzungs-Bedingung des Gefahrenstelle langsam queren Verhaltens- 
bausteins gleicht seiner Start-Bedingung: 
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Fortsetzungs-Bedingung zum Oueren einer Gefahrenstelle 


Der Verhaltensbaustein Gefahrenstelle langsam queren kann fortgesetzt werden, so- 


lange 
e sich das Ego-Fahrzeug innerhalb eines Fahrstreifens der Route befindet, 
e sich eine Gefahrenstelle im Fahrkorridor befindet und 
e die Fahrbahn zugleich nicht vollständig blockiert ist bzw., 


+ im Falle eines Fußgängerüberweges, keine VRUs im Umfeld sind. 


Verhaltensgenerierung 


Den Fahrkorridor übernimmt Gefahrenstelle langsam queren vom Verhaltens- 
baustein Folgefahrt, wobei allerdings die hinterlegte Wunschgeschwindigkeit 
an der Gefahrenstelle angepasst wird. Anschließend wird die Trajektorie mit 
dem gleichen Verfahren wie in Abschnitt 5.1.3, also bspw. Nichtlinearer Opti- 
mierung, bestimmt. Ggf. kann es außerdem angebracht sein, das Warnblink- 
licht als HMI zu aktivieren. Abbildung 5.7 veranschaulicht das Verhalten. 
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Abbildung 5.7: An potenziellen Gefahrenstellen fährt das Ego-Fahrzeug mit reduzierter Ge- 
schwindigkeit. 


101 


5 Verhaltensbausteine in der Anwendung 


5.1.6 Fahrstreifenwechsel 


Ein weiteres wichtiges grundlegendes Fahrmanöver ist der Fahrstreifenwech- 
sel, der im Laufe einer Fahrt häufig notwendig wird, um der Route zu folgen. 
Fahrstreifenwechsel können folglich bei Ein- und Ausfahrten, an Kreuzungen 
zur Wahl der Fahrrichtung, oder wenn der Ego-Fahrstreifen aus sonstigen 
Gründen endet, durchgeführt werden. Hauptsächlich unterscheidet sich ein 
Fahrstreifenwechsel von der Folgefahrt also im Querverhalten, berücksichtigt 
allerdings im Längsverhalten auch Verkehrsteilnehmer auf dem Zielfahrstrei- 
fen. Weist letzterer eine ausreichend große Lücke zum Einscheren auf, kann 
der konservative Fahrstreifenwechsel vollzogen werden. 


Bei dichtem Kolonnenverkehr oder auch dem sog. Reißverschlussverfahren 
wäre ein konservativer Fahrstreifenwechsel hingegen nicht möglich. Hierfür 
müsste ein weiterer Verhaltensbaustein entworfen werden, der die in diesem 
Falle nicht zu vernachlässigende Interaktion zwischen den Verkehrsteilneh- 
mern berücksichtigt. An dieser Stelle beschränkt sich diese Arbeit jedoch auf 
konservative Fahrstreifenwechsel und verweist hinsichtlich des Einordnens 
in dichtem Verkehr u.a. auf den POMDP Ansatz aus [Hub18b] sowie auf 
[Bou19]. 


Der Verhaltensbaustein Fahrstreifenwechsel wird zunächst richtungsunabhän- 
gig definiert und in der Anwendung jeweils einmal als Fahrstreifenwechsel 
links und Fahrstreifenwechsel rechts instanziiert. Die entsprechende Richtung 
wird im Folgenden als Zielrichtung bezeichnet. 


Start-Bedingung 


Sofern auf dem Zielfahrstreifen andere Verkehrsteilnehmer sind, ist beim 
Fahrstreifenwechsel darauf zu achten, dass sowohl zum vorausfahrenden 
als auch zum nachfolgenden Objekt ein angemessener Abstand gehalten 
wird. Dieser Abstand setzt sich zum einen aus einem räumlichen und einem 
zeitlichen Mindestabstand zusammen, die jeweils für den vorausfahrenden 
bzw. nachfolgenden Verkehrsteilnehmer unterschiedlich festgelegt werden 
können. Diese Voraussetzungen werden in der Start-Bedingung überprüft: 
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Start-Bedingung zum Fahrstreifenwechsel 


Der Verhaltensbaustein Fahrstreifenwechsel kann aufgerufen werden, wenn 


e sich das Ego-Fahrzeug innerhalb eines Fahrstreifens der Route befindet, 
e in Zielrichtung ein dazu benachbarter Fahrstreifen existiert, 
+ ein Fahrstreifenwechsel auf diesen Zielfahrstreifen erlaubt ist und 


e ggf. auf diesem Fahrstreifen vorhandene Verkehrsteilnehmer in 
ausreichendem räumlichen sowie zeitlichen Abstand zum Ego-Fahrzeug 
sind. 


Fortsetzungs-Bedingung 


Zweck des Fahrstreifenwechsels ist es, das Ego-Fahrzeug auf den Zielfahr- 
streifen zu bringen, sodass der Verhaltensbaustein so lange fortgesetzt werden 
sollte bis das Ego-Fahrzeug vollständig auf dem Zielfahrstreifen angelangt ist. 
Gelingt dies nicht, bspw. weil die angepeilte Lücke doch zu eng wird, muss 
der Verhaltensbaustein Fahrstreifenwechsel den Vorgang kontrolliert abbre- 
chen und das Ego-Fahrzeug vollständig auf den Startfahrstreifen bringen. 


Fortsetzungs-Bedingung des Fahrstreifenwechsels 


Der Fahrstreifenwechsel sollte fortgesetzt werden, solange 


e sich das Ego-Fahrzeug innerhalb des Start- und/oder Zielfahrstreifens 
befindet, 

e ggf. auf dem Zielfahrstreifen vorhandene Verkehrsteilnehmer in 
ausreichendem räumlichen sowie zeitlichen Abstand zum Ego-Fahrzeug 
sind und 

e das Ego-Fahrzeug den Zielfahrstreifen, bzw. im Falle eines Abbruchs den 
Startfahrstreifen, vollständig erreicht hat. 


Verhaltensgenerierung 


Der Fahrkorridor zum Fahrstreifenwechsel besteht im naiven Ansatz aus 
drei aufeinander folgenden Segmenten: Zunächst folgt er ausschließlich dem 
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Startfahrstreifen, dann umfasst das Segment des eigentlichen Fahrstreifen- 
wechsels beide Fahrstreifen und zuletzt folgt der Korridor nur noch dem 
Zielfahrstreifen. In einer solchen Implementierung wiirden allerdings die 
Korridorgrenzen und infolgedessen auch die Mittellinie am Anfang und Ende 
des mittleren Segments einen Sprung aufweisen. Da Trajektorienplaner aber 
haufig ebenjene Mittellinie als Referenz nutzen, wiirde diese Unstetigkeit die 
Konvergenz des Planers beeintrachtigen oder gar verhindern. Daher werden, 
wie in Abb. 5.8 veranschaulicht, zwei zusätzliche Segmente am Anfang und 
Ende des mittleren Korridorsegments eingefügt, die mittels Interpolation 
einen kontinuierlichen Übergang der Korridorgrenzen und somit auch der 
Mittellinie sicherstellen. 


Anschließend wird, wie auch bei den anderen korridorbasierten Fahrmanö- 
vern, innerhalb dieses Fahrkorridors eine Trajektorie bspw. mittels Nichtli- 
nearer Optimierung geplant. Dabei sind die Längen der einzelnen Segmente 
parametrisierbar, um sie je nach Anwendung und verwendetem Trajektorien- 
planer optimal aufeinander abstimmen zu können. Außerdem werden auch 
beim Fahrstreifenwechsel Stopp- und Haltelinien berücksichtigt, um bspw. 
eine rote Ampel des Zielfahrstreifens nicht zu schnell anzufahren. 
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` transition ‘ both lanes ‘ transition + 
Abbildung 5.8: Der Fahrkorridor des Fahrstreifenwechsels unterstiitzt die Trajektorienplanung 


durch einen kontinuierlichen Ubergang der Fahrkorridorgrenzen von Start- zu 
Zielfahrstreifen. 
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5.2 Fahrmanöver der Rückfallebenen 


Für eine robuste und sichere Verhaltensarbitration sind die Verhaltensbaustei- 
ne der Rückfallebene von wesentlicher Bedeutung. Sie übernehmen die Fahr- 
funktion, wenn die grundlegenden Verhaltensbausteine ausfallen. Um aller- 
dings auch auf der Rückfallebene ein möglichst robustes und sicheres Verhal- 
ten zu gewährleisten, werden auch ihre Verhaltensbausteine der Verifikation 
unterzogen. Lediglich bei einem Verhaltensbaustein, dem Nothalt, wird das 
Verifikationsergebnis nicht berücksichtigt, um jederzeit mind. ein MRM zu 
garantieren. Dieser Abschnitt beschreibt die in dieser Arbeit genutzten Rück- 
fallebenen. 


5.2.1 Letztes Manöver fortsetzen 


Das optimistischste Rückfallverhalten Letztes Manöver fortsetzen gibt die im 
vorigen Zeitintervall ausgeführte Soll-Trajektorie zurück, solange sie noch 
realisierbar und nicht zu alt ist. Die Berücksichtigung des Manöveralters, al- 
so der Dauer seitdem es geplant wurde, verhindert dabei sich zu lange auf 
einen alten Stand des Umweltmodells zu verlassen. Zudem unterliegt Letztes 
Manöver fortsetzen der Stellgrößen-Verifikation aus Abschnitt 4.2, was ihre 
Gültigkeit, Realisierbarkeit und Sicherheit gewährleistet. 


Start-Bedingung zum Fortsetzen der letzten Soll-Trajektorie 


Der Verhaltensbaustein Letztes Manöver fortsetzen kann aufgerufen werden, wenn 
e im vorigen Zeitintervall bereits ein Manöver ausgeführt wurde, 
e dieses Manöver nicht älter als ein festgelegtes Maximalalter ist und 


e die zugehörige Soll-Trajektorie noch realisierbar ist. 
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Fortsetzungs-Bedingung zum Fortsetzen der letzten Soll-Trajektorie 


Der Verhaltensbaustein Letztes Manöver fortsetzen kann fortgesetzt werden, wenn 
« der Verhaltensbaustein bereits aktiv ist, 


e das im vorigen Zeitintervall ausgeführte Manöver nicht älter als ein 
festgelegtes Maximalalter ist und 


e die zugehörige Soll-Trajektorie noch realisierbar ist. 


Die Verhaltensgenerierung beschränkt sich für diesen Verhaltensbaustein 
zunächst darauf, die Soll-Trajektorie x*—1!, die HMI-Ausgaben mb und 
die V2X-Nachrichten mb des Manövers aus dem vorigen Planungsin- 
tervall x— 1 zu übernehmen. Wichtig ist allerdings eine neue Fail-Safe- 
Trajektorie X“ zu bestimmen, um sicherzustellen, dass diese - wie auch in 
Abschnitt 3.2.4 und Gleichung (3.2b) diskutiert - im nächsten Zeitintervall 
noch realisierbar ist. Hierzu muss sie in den ersten drei geplanten Posen mit 
der Soll-Trajektorie übereinstimmen: 


xt = xt (5.2) 


Es Vie [0,2]. (5.2b) 


5.2.2 Fail-Safe-Trajektorie 


Die zweite Rückfallebene knüpft unmittelbar an die im Rahmen des Sicher- 
heitskonzepts formulierte Forderung an, dass jeder Verhaltensbaustein zu- 
sätzlich zur Soll-Trajektorie auch eine ausfallsichere Alternativ-Trajektorie, 
die sog. Fail-Safe-Trajektorie, bestimmen muss (Abschnitt 3.2.4). Diese Fail- 
Safe-Trajektorie muss u. a. der Verifikation bzgl. Verkehrssicherheit standhal- 
ten. Entsprechend kann die Rückfallebene Fail-Safe auf die, im vorigen Pla- 


LEM) 


nungsintervall x — 1 geplante, Fail-Safe-Trajektorie ZF" zurückgreifen und 


direkt als ihre Soll-Trajektorie ausgeben. 


Auch Fail-Safe wird vom übergeordneten Arbitrator der Verifikation unterzo- 
gen, um sicherzustellen, dass diese Fail-Safe-Trajektorie nur dann ausgeführt 
wird, solange die Annahmen ihrer Verifikation weiterhin erfüllt sind. Daher 
beschränkt sich die Start-Bedingung lediglich darauf, zu prüfen, ob überhaupt 
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eine Fail-Safe-Trajektorie Sr") 


und sicher ist, wird hingegen im Verifikationsschritt geprüft. 


vorliegt. Ob sie weiterhin gültig, realisierbar 


Start-Bedingung zum Fail-Safe Verhalten 


Der Verhaltensbaustein Fail-Safe kann aufgerufen werden, wenn 


e im vorigen Zeitintervall bereits ein Manöver ausgeführt wurde. 


Da der Verhaltensbaustein Fail-Safe in jedem Fall die vorige Fail-Safe- 
Trajektorie ¥*-! als neue Fail-Safe-Trajektorie X* zurückgibt, kann er 
anschließend durchgehend fortgesetzt werden: 


Fortsetzungs-Bedingung zum Fail-Safe Verhalten 


Der Verhaltensbaustein Fail-Safe kann immer dann fortgesetzt werden, wenn 


e der Verhaltensbaustein bereits aktiv ist. 


Zusammenfassend übernimmt Fail-Safe in seiner Aktion-Funktion die im vo- 
rigen Planungsintervall x — 1 geplante Fail-Safe-Trajektorie Sr") als aktuelle 
Soll- und Fail-Safe-Trajektorie: 


E Com (5.3a) 
ver (5.3b) 


Zudem kann es, je nach Gefährdungslage, sinnvoll sein, das Warnblinklicht 
über die HMI-Ausgaben Mým zu aktivieren. 


5.2.3 Nothalt 


Als dritte Rückfallebene stellt der Verhaltensbaustein Nothalt eine Vollbrem- 
sung auf geradem Pfad zur Verfügung. Da er zugleich die letzte Rückfalle- 
bene bildet, ist es entscheidend, dass der Nothalt in jeder Situation aufgeru- 
fen werden kann. Für die Trajektorienplanung in Kartesischen oder Frenet- 
Koordinaten muss jedoch zumindest der aktuelle Fahrzeugzustand x (bspw. 
durch ein Odometer) bekannt sein: 
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Start-Bedingung zum Nothalt 


Der Verhaltensbaustein zum Nothalt kann jederzeit aufgerufen werden, solange der 
aktuelle Fahrzeugzustand x bekannt ist. Der Nothalt kann insbesondere auch dann 
aufgerufen werden, wenn u.a. 


e das Ego-Fahrzeug die Strecke verlassen hat, 


e die Planungskarte nicht mehr verfügbar ist oder 


e Teile der Wahrnehmung, Lokalisierung oder Prädiktion ausgefallen sind. 


Steht auch der Fahrzeugzustand x nicht zur Verfügung, weil z.B. sogar die 
Fahrzeugodometrie ausgefallen ist, ist es Aufgabe der Regelung diesen Ausfall 
zu erkennen und direkt über die Aktorstellgrößen (Soll-Beschleunigung und 
-Lenkwinkel) eine Vollbremsung zu initiieren. Alternativ müssten die Verhal- 
tensbausteine ihre Soll- und Fail-Safe-Trajektorien als zeitlichen Verlauf der 
Aktorstellgrößen modellieren. Diese könnten zwar ohne die Kenntnis des ak- 
tuellen Fahrzeugzustands geplant werden. Allerdings kann ohne diesen nicht 
gewährleistet werden, dass die Trajektorien physikalisch realisierbar sind. 


Fortsetzungs-Bedingung zum Nothalt Verhalten 


Der Verhaltensbaustein Nothalt kann immer dann fortgesetzt werden, wenn 


e der Verhaltensbaustein bereits aktiv ist. 


In seiner Aktion-Funktion bestimmt der Verhaltensbaustein Nothalt eine 
Trajektorie, die ausgehend vom aktuellen Zustand x das Fahrzeug bei kon- 
stanter Orientierung mit maximal realisierbarer Bremsbeschleunigung bis 
zum Stillstand bringt. Aufgrund der Havarie wird zudem das Warnblinklicht 
über die HMI-Ausgaben mu aktiviert. 
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Dieses Kapitel stellt die Validierung und Evaluation der im Rahmen dieser 
Arbeit entworfenen Verhaltensarbitration vor. Abschnitt 6.1 beschreibt dabei 
zunächst die Validierung der Verhaltensgenerierung mittels Arbitrationsgra- 
phen im Realversuch. Anschließend werden in Abschnitt 6.2 die Erweiterun- 
gen aus Kapitel 4 hin zur robusten und sicheren Verhaltensarbitration in Si- 
mulation evaluiert. 


6.1 Validierung im Realversuch 


Abbildung 6.1: Arbitrationsgraphen übernehmen seit Sommer 2020 die Verhaltensentscheidung 
des Versuchsfahrzeugs Bertha. 
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Abbildung 6.2: Die 6 km lange Teststrecke umfasst urbane sowie landstraßenähnliche Etappen. 
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(a) An der Kreuzung der Theodor-Heuss-Allee mit der Rintheimer Querallee sind 
zwei Fahrstreifenwechsel notwendig. (b) Auf der Rintheimer Querallee ist ein 
Fußgängerüberweg mit „Zebrastreifen“ zu beachten. (c) Die Strecke verläuft ab 
dem Hauptfriedhof auf den Straßenbahngleisen. (d) An der Kreuzung Durlacher 
Tor muss u.a. ein parallel verlaufender Radweg gekreuzt werden. 


6.1 Validierung im Realversuch 


Eine frühe Implementierung der Verhaltensarbitration für automatisierte 
Fahrzeuge wurde auf dem Versuchsfahrzeug Bertha [Tas18b], dargestellt in 
Abb. 6.1, integriert und ist seit Sommer 2020 in regelmäßigen Testfahrten 
im Straßenverkehr im Einsatz [Orz20]. Sie hat den bisherigen Endlichen 
Zustandsautomaten ersetzt und vereinfacht seitdem die Entwicklung und 
Integration neuer Manöver in Form weiterer Verhaltensbausteine. Der Ansatz 
im Fahrzeug nutzt eine korridorbasierte Manöverrepräsentation, die im Zuge 
dieser Arbeit (Abschnitt 3.2.2) aber auf Soll- und Fail-Safe-Trajektorien geän- 
dert wurde, um die in Abschnitt 4.2 eingeführte Verifikation zu ermöglichen. 


6.1.1 Teststrecke 


Die in Abb. 6.2 veranschaulichte Hauptversuchsstrecke beginnt auf dem Cam- 
pus des Karlsruher Instituts für Technologie (KIT) und erstreckt sich über 
6km entlang urbaner sowie landstraßenähnlicher Etappen, bevor sie wieder 
am Ausgangspunkt endet. Die Strecke beinhaltet einige herausfordernde Pas- 
sagen: Sie passiert zwölf Kreuzungen (u.a. Abb. 6.2a und 6.2d), eine Stelle 
mit Reißverschlussverfahren, einen Fußgängerüberweg mit „Zebrastreifen“ 
(Abb. 6.2b), drei Fußgängerüberwege mit Lichtsignalanlage und zwei Ver- 
kehrsinseln. Zudem kreuzt sie einen parallel verlaufenden Radweg vor der 
Kreuzung am Durlacher Tor (Abb. 6.2d). Eine weitere Herausforderung ergibt 
sich im Bereich der Haid-und-Neu-Straße (Abb. 6.2c) zwischen Hauptfried- 
hof und Durlacher Tor, da sich dort Straßenbahn und Fahrzeuge denselben 
Fahrstreifen teilen. Zusätzlich sind entlang der ganzen Route mehrere Fahr- 
streifenwechsel notwendig, um der Streckenführung zu folgen. 


6.1.2 Arbitrationsgraph 


Abbildung 6.3 stellt die im Realversuch verwendeten Verhaltensbausteine des 
Arbitrationsgraphen dar. Den überwiegenden Anteil der Fahraufgabe über- 
nimmt der Verhaltensbaustein Follow Lane, der die Folgefahrt samt Haltema- 
növern an Ampeln und Vorfahrtsituationen realisiert. Die Freigabe der Halte- 
linien erfolgte aus Sicherheitsgründen jedoch noch manuell. Die beiden Chan- 
ge Lane Verhaltensbausteine setzen jeweils Fahrstreifenwechsel nach links 
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bzw. rechts um. Diese berücksichtigen, wie in Abschnitt 5.1.6 diskutiert, auch 
Stopp- und Haltelinien des Zielfahrstreifens, um ein vorausschauendes Ver- 
halten zu erzeugen. Der Kosten-Arbitrator URBAN DRIVING wählt zwischen 
diesen drei Verhaltensbausteinen das Manöver, dessen langfristige Routing- 
kosten minimal sind’. In der Nähe des angesteuerten Parkplatzes wird schließ- 
lich das Einparkmanöver Park Near Goal anwendbar und nach Priorität ak- 
tiviert. Als Beispiel, wie das Sicherheitsziel S1 (ein MRM bei Verlassen der 
ODDs zu garantieren) umgesetzt wurde, wird die Rückfallebene Emergency 


Stop nach Abschluss des Einparkmanövers aktiv und halt das Fahrzeug im 
Stillstand. 


Park Near Goal 


Follow Lane 


Change Lane Left $ Urban Driving E Automated Driving 


Abbildung 6.3: Arbitrationsgraph zur Verhaltensentscheidung für automatisiertes Fahren mit 
dem Versuchsfahrzeug Bertha. Die Breite eines hellgrünen Hintergrundes stellt 
den normierten Nutzen einer anwendbaren Option dar. Je höher der Nutzen, 
desto größer die hellgrüne Fläche. 


Emergency Stop 


6.2 Simulative Evaluation 


In diesem Abschnitt wird die in Kapitel 3 überarbeitete Manöverrepräsentati- 
on und Verhaltensgenerierung sowie die Erweiterung der Verhaltensarbitra- 
tion um das in Kapitel 4 eingeführte Sicherheitskonzept evaluiert. Dabei wird 
die Implementierung insbesondere hinsichtlich der Umsetzung folgender Si- 
cherheitsziele untersucht: 


S5 Das System verhindert ungültige Stellgrößen. 


S6 Das System vermeidet riskante Stellgrößen. 


* Alternativ zur Minimierung von Kosten kann auch der Nutzen maximiert werden. 
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Die folgenden beiden Abschnitte stellen zunächst die Testumgebung und den 
Arbitrationsgraph des Referenzverhaltens samt der verwendeten Verhaltens- 
generierung vor. Die Abschnitte 6.2.3 und 6.2.4 präsentieren anschließend den 
jeweiligen Evaluationsansatz hinsichtlich der Sicherheitsziele S5 und S6 sowie 
die entsprechenden Ergebnisse. 


6.2.1 Testumgebung 


Für die simulative Evaluation wird dieselbe Teststrecke wie im Realver- 
such verwendet (Abschnitt 6.1.1). Als Simulationsumgebung kommt dabei 
ColnCar-Sim zum Einsatz [Nau18]. Wesentliche Vorteile dieser Simulations- 
umgebung sind der Multi-Agenten-Ansatz, der es ermöglicht die Interaktion 
zwischen Verkehrsteilnehmern zu simulieren, sowie die ROS und lanelet2 
Schnittstellen, die den Schnittstellen des Versuchsfahrzeugs Bertha gleichen 
(Abb. 6.1). Somit kann eine in ColnCar-Sim entworfene Verhaltensgene- 
rierung mit nur geringem Aufwand auf das Versuchsfahrzeug übertragen 
und dort ausgeführt werden. Genauso wird sie umgekehrt genutzt, um 
Fehler der Verhaltensgenerierung des Versuchsfahrzeugs in Simulation zu 
rekonstruieren, gefahrlos zu testen und zu beheben. 


ColnCar-Sim schafft zwar die Voraussetzungen für interaktive Verhaltenssi- 
mulationen, stellt allerdings selbst nur nicht-interaktive Verhaltensmodelle 
bereit, die lediglich vorab definierten Trajektorien folgen. Um daher eine 
realistischere Simulation zu erzielen, wird das vorhandene Verhaltens- 
modell anderer Verkehrsteilnehmer so umgestaltet, dass diese auch auf 
das Ego-Fahrzeug reagieren. Hierzu wird die in dieser Arbeit vorgestellte 
Verhaltensarbitration nicht nur für das Ego-Fahrzeug, sondern auch im Ver- 
haltensmodell aller anderen Verkehrsteilnehmer eingesetzt. Dabei können 
sich Parameter, wie bspw. Wunschgeschwindigkeiten oder angestrebte Zeit- 
abstände, von Fahrzeug zu Fahrzeug unterscheiden. Die übrigen ColnCar-Sim 
Module, u. a. die Simulation der Sensorik und Aktorik sowie das Zeitmanage- 
ment, bleiben jedoch unberührt. Die in den Abschnitten 6.2.3 und 6.2.4 zur 
Evaluation entworfenen Stresstests und Modifikationen werden zudem nur 
in die Verhaltensarbitration des Ego-Fahrzeugs eingebettet. 
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6.2.2 Implementierung 


Die Implementierung setzt die in Kapitel 3 beschriebene Verhaltensarbitrati- 
on für automatisierte Fahrzeuge samt des Umweltmodells und der überarbei- 
teten Manöverrepräsentation in C++ und ROS um. Die Verhaltensbausteine 
sind zudem an die in Kapitel 5 vorgestellten Fahrmanöver angelehnt. Zur Ver- 
haltensgenerierung der einzelnen Verhaltensbausteine wird also für die Soll- 
Trajektorie zunächst, wie in Kapitel 5 und [Orz20] erläutert, ein Fahrkorridor 
bestimmt. Um den Fokus der Evaluation auf die Verhaltensentscheidung samt 
des Verifikationsverfahrens zu legen und hierbei ungewollte Einflüsse der Tra- 
jektorienplanung auszuschließen, wird für letztere ein vereinfachtes, determi- 
nistisches Verfahren eingesetzt: Hierzu wird die Mittellinie des Korridors mit 
Splines interpoliert und, unter Anwendung des IDMs, eine Trajektorie entlang 
dieses Referenzpfades für einen Planungshorizont von 8s bestimmt. Zuletzt 
wird die Fail-Safe-Trajektorie im Zeitintervall It, tx 42], wie in Abschnitt 3.2.4 
insbesondere bzgl. Gleichung (3.2b) diskutiert, der Soll-Trajektorie gleichge- 
setzt und ab fy, als Vollbremsung entlang dieser Soll-Trajektorie bestimmt. 


5 Park Near Goal 


Follow Lane 
Slowly Pass Zebra 


Change Lane Left 


Continue Last Maneuver 


$ Urban Driving J} Automated Driving 


Fail Safe Fallback 


Emergency Stop 


Abbildung 6.4: Beispielzustand Arbitrationsgraphen aus der Evaluation mit den drei Rückfalle- 
benen Continue Last Maneuver, Fail Safe Fallback und Emergency Stop. Die Ver- 
haltensoption Follow Lane hat die Verifikation nicht bestanden, sodass alternativ 
Continue Last Maneuver ausgewahlt wird. Das Change Lane Right Verhalten ist 
zwar ebenfalls anwendbar, hat allerdings einen geringeren Nutzen. 


Zur Umsetzung des in Kapitel 4 eingeführten Sicherheitskonzepts werden die 
drei Verifikatoren aus Gleichung (4.3) eingesetzt. Wie in Abb. 6.4 dargestellt, 
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wurden die drei Rückfallebenen aus Abschnitt 5.2 umgesetzt: Zunächst ver- 
hindert Continue Last Maneuver, bei kurzweiligen Fehlern eines der Verhal- 
tensbausteine innerhalb des Kosten-Arbitrators URBAN DRIVING, eine Oszil- 
lation zwischen mehreren Verhaltensoptionen. Hierfür übernimmt Continue 
Last Maneuver die Soll-Trajektorie des im vorigen Zeitintervall bestimmten 
Manövers, falls sie weiterhin sicher ausführbar und nicht zu alt ist. Außerdem 
wird die Fail-Safe-Trajektorie aktualisiert, um Gleichung (3.2b) wieder zu er- 
füllen. Beispielhaft konnte in Abb. 6.4 Follow Lane nicht der Verifikation stand- 
halten. Statt einen zwar möglichen, allerdings nicht zielführenden Fahrstrei- 
fenwechsel einzuleiten, wird Continue Last Maneuver ausgewählt und hält das 
Fahrzeug mit der zuvor geplanten Trajektorie im eigenen Fahrstreifen. 


Als zweite Rückfallebene kommt Fail Safe Fallback zum Tragen, falls keiner 
der regulären Verhaltensbausteine sicher anwendbar und das letzte Manöver 
zu alt ist, um es mit Continue Last Maneuver auszuführen. Wie bereits der Na- 
me verdeutlicht, führt Fail Safe Fallback die Fail-Safe-Trajektorie des zuletzt 
erfolgreich verifizierten Manövers aus. Es sei angemerkt, dass auch diese Tra- 
jektorie vom übergeordneten Prioritäts-Arbitrator AUTOMATED DRIVING in 
jedem Planungsintervall verifiziert wird. 


Sollte schließlich eine der zugrunde liegenden Annahmen, bspw. durch Regel- 
verstöße anderer Verkehrsteilnehmer verletzt werden, kann auch die Verifika- 
tion von Fail Safe Fallback fehlschlagen. In diesem Fall übernimmt die letzte 
und restriktivste Rückfallebene Emergency Stop und führt einen sofortigen 
Nothalt aus. Emergency Stop wird als einziger Verhaltensbaustein keiner Veri- 
fikation unterzogen, um in jeder Situation ein MRM zur Verfügung zu stellen 
(entspricht dem Sicherheitsziel S2), auch wenn es in dem Moment ggf. nicht 
den strengen Anforderungen der Erreichbare-Mengen-Analyse genügt. 


Die folgenden Abschnitte untersuchen, welchen Einfluss ungültige sowie ris- 
kante Soll-Trajektorien auf die Verhaltensgenerierung mit und ohne Sicher- 
heitskonzept haben. Die soeben beschriebene Implementierung, die die Veri- 
fikation im Arbitrationsverfahren nutzt, wird dabei als Sichere Verhaltensar- 
bitration bezeichnet. Der Begriff Optimistische Verhaltensentscheidung bezieht 
sich hingegen auf eine Verhaltensarbitration ohne Sicherheitskonzept, ver- 
gleichbar mit der aus [Orz20]. 
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6.2.3 Valide Verhaltensentscheidung 


In diesem Abschnitt wird die Verhaltensarbitration hinsichtlich des Sicher- 
heitsziels S5 untersucht, also ob und wie sie ungültige Stellgrößen abfängt 
und in dem Fall auf Alternativoptionen zurückgreift. Hierbei ist zu erwarten, 
dass die Optimistische Verhaltensentscheidung ungültige Soll-Trajektorien un- 
geprüft durch den Arbitrationsgraph durchreicht und als Ergebnis der Verhal- 
tensentscheidung ausgibt. Dies kann - je nachdem, wie schwerwiegend die 
Soll-Trajektorie beschädigt ist - zu instabilem und somit gefährlichem Fahr- 
verhalten führen. Bei der Sicheren Verhaltensarbitration sollte der Verifikati- 
onsschritt aus Abschnitt 4.2.3 ungültige Trajektorien hingegen mittels Vue 
und Vealisierbar erkennen. Entsprechend ist zu erwarten, dass die Arbitration 
in dem Fall einen anderen Verhaltensbaustein auswählt und weiterhin gültige 
und realisierbare Trajektorien ausgibt. Außerdem sollte das Fahrzeug die ge- 
samte Route absolvieren können, solange die regulären’ Verhaltensbausteine 
nicht dauerhaft ungültige Stellgrößen ausgeben. 


S Ego-Fahrzeug “i Ego-Fahrzeug 


(a) Regular geplantes Manöver von Follow Lane. Soll- (b) Künstlich beschädigte Soll-Trajektorie mit u.a. zu 
Trajektorie in Blau, Fail-Safe-Trajektorie in Rot. hoher Krümmung. Dreiecke markieren nach links 
versetzte Stützpunkte, Sterne wurden nach rechts 

versetzt, Kreise blieben unberührt. 


Abbildung 6.5: Die Soll-Trajektorie wird in zufälligen Planungsintervallen künstlich beschädigt, 
um den Verifikations- und Rückfall-Mechanismus der Verhaltensarbitration aus- 
zulösen. 


* Reguläre Verhaltensbausteine sind solche, die nicht Teil der Rückfallebenen sind. 
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Unter den idealisierten Bedingungen einer Simulation führt die Implemen- 
tierung der Verhaltensbausteine nicht ohne weiteres zu gravierenden Feh- 
lern, wie ungültigen oder nicht realisierbaren Soll-Trajektorien. Daher wer- 
den die Soll-Trajektorien der regulären Verhaltensbausteine in diesem Teil 
kontrolliert beschädigt, um die Fehlerkompensation auszulösen und die Wirk- 
weise der Rückfallebenen untersuchen zu können. Die Soll-Trajektorien x 
werden mit festgelegter Fehlerwahrscheinlichkeit p(ungültig,) reproduzier- 
bar beschädigt oder gänzlich intakt gelassen. Im Falle der Beschädigung wer- 
den 2/3 der Stützpunkte mit einem großen lateralen Sprung versetzt, die Hälfte 
hiervon jeweils in Fahrtrichtung links bzw. rechts. Infolgedessen weist die re- 
sultierende Trajektorie an diesen Stellen u. a. sehr hohe Krümmungswerte auf 
und ist in kinematischer Hinsicht nicht realisierbar. Abbildung 6.5 vergleicht 
die regulär geplante Soll-Trajektorie des Follow Lane Verhaltensbausteins mit 
der künstlich beschädigten Variante. Die Evaluation bzgl. Sicherheitsziel S5 
besteht nun aus folgenden beiden Teilen: 


Stresstest Im Stresstest wird die Verhaltensarbitration in ausgewählten 
Szenarien einer außergewöhnlich hohen Fehlerwahrscheinlichkeit von 
p(Ausfall;) = 50% ausgesetzt. Die künstlich versetzten Punkte der 
Soll-Trajektorie weisen einen lateralen Versatz von 0,5 m auf. 


Dauerlauf Im Dauerlauf wird das Systemverhalten entlang der geplanten 
Route mit einer geringeren Fehlerwahrscheinlichkeit von p(Ausfall;) = 
10% und ebenfalls 0,5 m lateralem Versatz der Punkte untersucht. 


Ergebnisse Stresstest Optimistische Verhaltensentscheidung 


Die Optimistische Verhaltensentscheidung wurde dem Stresstest im Szenario 
„Kreuzung Theodor-Heuss-Allee mit Rintheimer Querallee“ (vgl. Abb. 6.2a) 
ausgesetzt. Die Ergebnisse hierzu sind in den Abb. 6.6 und 6.7 dargestellt. Das 
Ego-Fahrzeug nähert sich zu Beginn, von der Theodor-Heuss-Allee kommend, 
aus südwestlicher Richtung, auf einem Abschnitt mit einem Fahrstreifen je 
Fahrtrichtung. Anschließend muss es auf den Abbiegefahrstreifen wechseln, 
diesem etwa weitere 50 m folgen, um sich dann in den vorfahrtsberechtigten 
Verkehrsfluss der Rintheimer Querallee einzuordnen. 
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t=11.5s 


(a) Die Optimistische Verhaltensentscheidung führt bei der Arbitration keine Verifikation der Stellgrößen durch, 
sodass auch die künstlich beschädigten Trajektorien ausgeführt werden. Im Stresstest bringen diese das 
blaue Ego-Fahrzeug in heftiges Überschwingen. Ab dem dargestellten Zeitpunkt verlässt das Ego-Fahrzeug 
sogar zeitweise den Fahrkorridor (vgl. Abb. 6.7a und 6.7c). 


Change Lane Left 
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Change Lane Right 
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(b) Die Optimistische Verhaltensentscheidung führt ihre Verhaltensoptionen ausschließlich auf Basis ihrer Start- 
und Fortsetzungs-Bedingungen aus. Daher wird zu diesem Zeitpunkt das Change Lane Right Verhalten 
ausgeführt, obwohl es in diesem Moment eine nicht realisierbare Trajektorie ausgibt. 


Abbildung 6.6: Beispielsituation der Optimistischen Verhaltensentscheidung im Stresstest im Sze- 


nario „Kreuzung Theodor-Heuss-Allee mit Rintheimer Querallee“ zum Zeit- 
punkt t = 11,5 (bzgl. Szenariostart). 
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= 


er 


(a) Der vom Ego-Fahrzeug gefahrene Pfad. Aufgrund der künstlich beschädigten Trajektorien, kommt das Ego- 
Fahrzeug in heftiges Überschwingen und verlässt zeitweise seinen Fahrkorridor (rot gestrichelt markiert). 


- - max. drivable curvature * max. curvature of trajectory (drivable) 


* max. curvature of trajectory (not drivable) 
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(b) Maximale Krümmung der zum jeweiligen Zeitpunkt geplanten Trajektorie. Die künstlich beschädigten 
Trajektorien weisen u.a. zu hohe Krümmungen auf. 
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(c) Da die Optimistische Verhaltensarbitration keine Verifikation durchführt, führt sie die mutmaßlich beste 
Option auch dann aus, wenn ihre Trajektorie aufgrund zu hoher Krümmungen nicht realisierbar ist. 


Abbildung 6.7: Zeitverlauf der Optimistischen Verhaltensarbitration im Stresstest im Szenario 
„Kreuzung Theodor-Heuss-Allee mit Rintheimer Querallee“. 
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Abbildung 6.6 zeigt dabei die Situation zum Zeitpunkt t = 11,5s (bzgl. Sze- 
nariostart) in Vogelperspektive sowie den Zustand des Arbitrationsgraphen. 
Dabei wird deutlich, dass die Optimistische Verhaltensentscheidung keine Ve- 
rifikation durchführt und daher die künstlich beschädigten Trajektorien, in 
diesem Fall des Change Lane Right Verhaltens, ausführt (vgl. Abb. 6.7c). 


Dadurch kommt das Ego-Fahrzeug gefährlich ins Schwingen und verlässt so- 
gar zeitweise den Fahrkorridor mit bis zu drei Rädern, wie in Abb. 6.7a her- 
vorgehoben. Außerdem führt die lateral alternierende Trajektorie u.a. we- 
gen ihrer hohen Krümmungswerte in Abb. 6.7b dazu, dass der auf glatte, 
krümmungs- und ruckarme Trajektorien ausgelegte Längsregler seine Refe- 
renzgeschwindigkeit auf durchschnittlich 9,9 = reduziert. Infolgedessen er- 
reicht das Ego-Fahrzeug den Zielfahrstreifen des Szenarios erst nach über 90 s. 


Das beobachtete instabile und riskante Verhalten in diesem Stresstest ist eine 
direkte Folge dessen, dass die Optimistische Verhaltensentscheidung die erst- 
beste anwendbare Option ausführt, ohne dabei die zugehörigen Soll- und Fail- 
Safe-Trajektorien auf Realisierbarkeit oder Sicherheit hin zu überprüfen. Da- 
durch hängt die Leistungsfähigkeit der Optimistischen Verhaltensentscheidung, 
insbesondere hinsichtlich der Qualität und Sicherheit des generierten Verhal- 
tens, komplett von der Qualität und Sicherheit der eingesetzten Verhaltens- 
bausteine ab. 


Ergebnisse Stresstest Sichere Verhaltensentscheidung 


Dieser Abschnitt untersucht, ob der Verifikationsschritt der Sicheren Verhal- 
tensentscheidung das Ego-Verhalten stabilisieren und absichern kann. Hier- 
zu wird die Sichere Verhaltensentscheidung ebenfalls dem Stresstest im Sze- 
nario des vorigen Abschnitts unterzogen, mit gleichem Anfangszustand des 
Ego-Fahrzeugs und aller weiteren beteiligten Verkehrsteilnehmer. Auch der 
Arbitrationsgraph samt verfügbarer Verhaltensoptionen stimmt mit dem der 
Optimistischen Verhaltensentscheidung überein. Der wesentliche Unterschied 
besteht darin, dass die Arbitratoren der Sicheren Verhaltensentscheidung die 
Soll- und Fail-Safe-Trajektorien einer Verifikation, in diesem Fall hinsichtlich 
ihrer Gültigkeit und Realisierbarkeit (vgl. Abschnitt 4.2.3), unterziehen. Die 
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t = 8.6s 


(a) Trotz der Fehlerwahrscheinlichkeit von p(Ausfall;) = 50% halt die Sichere Verhaltensarbitration das Ego- 
Fahrzeug stabil und kollisionsfrei im Fahrkorridor (siehe auch im Gesamtverlauf von Abb. 6.9a). 
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(b) Die Sichere Verhaltensarbitration erkennt die beschädigte Soll-Trajektorie des Change Lane Right Verhaltens 
und setzt stattdessen (über das Continue Last Maneuver Verhalten) die zuvor ausgeführte Trajektorie fort. 


Abbildung 6.8: Beispielsituation der Sicheren Verhaltensarbitration im Stresstest im Szenario 


„Kreuzung Theodor-Heuss-Allee mit Rintheimer Querallee“ zum Zeitpunkt 
t = 8,65 (bzgl. Szenariostart). 


121 


6 Evaluation und Validierung 


(a) Gefahrener Ego-Pfad mit hervorgehobenen Abschnitten der Fahrstreifenwechsel (vgl. Abb. 6.9c). 


- = max. drivable curvature * max. curvature of trajectory (drivable) 


* max. curvature of trajectory (not drivable) 
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(b) Maximale Krümmung der zum jeweiligen Zeitpunkt geplanten Trajektorie. Dank der Verifikation werden 
Trajektorien verhindert, die u. a. aufgrund ihrer Krümmung kinematisch nicht realisierbar wären. 
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(c) Wegen der hohen Ausfallrate greifen die Arbitratoren häufig auf die Rückfallebenen Continue Last Maneuver 
und Fail Safe Fallback zurück. Dadurch ergibt sich ein dennoch ruhiges und sicheres Fahrverhalten. 


Abbildung 6.9: Zeitverlauf der Sicheren Verhaltensarbitration im Stresstest im Szenario „Kreu- 
zung Theodor-Heuss-Allee mit Rintheimer Querallee“. 
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Arbitration wählt also die beste Manöveroption aus, die zugleich die Verifika- 
tion mittels Varg und Vealisierbar erfolgreich absolviert. Die Verifikation bzgl. 
Verkehrssicherheit wird an dieser Stelle ausgelassen und erst im späteren Ab- 
schnitt 6.2.4 untersucht. 


Die Ergebnisse der Sicheren Verhaltensentscheidung im Stresstest sind in den 
Abb. 6.8 und 6.9 visualisiert. Zunächst ist in Abb. 6.8b zu beobachten, dass die 
Verifikation im URBAN DRIVING Arbitrator die zum Zeitpunkt t = 8,6 s künst- 
lich beschädigte Trajektorie des Change Lane Right Verhaltens verweigert. Da 
der Fahrstreifenwechsel auf den Abbiegefahrstreifen in diesem Moment den 
größten Nutzen hinsichtlich Routingkosten aufweist, fällt der URBAN DRIVING 
Arbitrator als Nächstes nicht auf die Folgefahrt Follow Lane zurück. Stattdes- 
sen überprüft er zunächst, ob die bereits im vorigen Planungsintervall ausge- 
führte Trajektorie der Continue Last Maneuver Rückfallebene der Verifikati- 
on standhält. Da sich diese Trajektorie als weiterhin gültig und realisierbar 
erweist, wählt der URBAN DRIVING Arbitrator schließlich Continue Last Ma- 
neuver aus und setzt somit den Fahrstreifenwechsel mit der Trajektorie des 
vorigen Planungsintervalls fort. 


Im Zeitverlauf des Gesamtszenarios in Abb. 6.9c sind die vielen Ausfälle, in 
Form künstlich beschädigter und somit nicht realisierbarer Trajektorien, er- 
kennbar. Dabei fällt die Sichere Verhaltensentscheidung meist auf das Conti- 
nue Last Maneuver Verhalten zurück. Einige Male, wenn die zuletzt geplante 
Trajektorie zu alt ist (vgl. Abschnitt 5.2.1), wird die Fail-Safe-Trajektorie des 
letzten Manövers ausgeführt. Solange allerdings eine der regulären Alterna- 
tivoptionen ausführbar ist, wird diese statt der niedriger priorisierten Fail Safe 
Fallback Option ausgewählt. Bspw. ist zum Zeitpunkt t = 26,8 s, nach einem 
längeren Ausfall des bzgl. Routingkosten besten Verhaltens Change Lane Left, 
die Rückfalloption Continue Last Maneuver nicht mehr anwendbar. Da die Fol- 
gefahrt in diesem Augenblick ebenfalls nicht realisierbar ist, wird der Fail Safe 
Fallback ausgeführt. Sobald allerdings in den Zeitpunkten t = {28,4s, 28,6 s 
und 28,7 s} Follow Lane als weitere Alternative zur Verfügung steht, wird die 
komfortablere Folgefahrt statt der Fail-Safe-Trajektorie ausgeführt. 


Die Sichere Verhaltensentscheidung kann schließlich dank der Rückfallebenen 
Continue Last Maneuver und Fail Safe Fallback sowie in seltenen Fällen auch 
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dank der Diversitat* ein ruhiges Fahrverhalten ohne schwingende Trajekto- 
rie realisieren. Die Krümmungen der ausgegebenen Trajektorien in Abb. 6.9b 
bleiben jederzeit weit unter dem Grenzwert. Gleichzeitig erreicht es den Ziel- 
fahrstreifen mit einer Durchschnittsgeschwindigkeit von 26,2 @ und ohne 
Kollision oder Verlassen des Fahrkorridors in 34,1 s. Der hohe Grad an Ro- 
bustheit und Stabilität des Systemverhaltens fällt insbesondere im direkten 
Vergleich zum Verhalten ohne Verifikation, also der Optimistischen Verhal- 
tensarbitration auf (Abb. 6.9a vs. Abb. 6.7a). 


Ergebnisse Dauerlauf 


Im Dauerlauf startet das Ego-Fahrzeug auf dem KIT Campus und soll die ge- 
samte Route von 6,04km Länge absolvieren. Dabei muss es u. a. Fahrstreifen- 
wechsel durchführen, Kreuzungen und Fußgängerüberwege passieren sowie 
zum Schluss auf dem Campusgelände in eine festgelegte Parklücke einparken 
(ausführlichere Streckenbeschreibung in Abschnitt 6.1.1). Da CoInCar-Sim al- 
lerdings keine Verkehrsflusssimulation umfasst, können andere Verkehrsteil- 
nehmer nicht dynamisch im Laufe der Simulation initialisiert werden, um mit 
dem Ego-Fahrzeug in Interaktion zu kommen. Andererseits ist bei einer solch 
langen Fahrt nicht genau absehbar, wann das Ego-Fahrzeug welche interes- 
sante Stelle erreichen wird, sodass eine manuelle Festlegung des Anfangszu- 
stands aller Verkehrsteilnehmer nicht praktikabel ist. Daher verläuft der Dau- 
erlauf ohne Einbindung anderer Verkehrsteilnehmer und fokussiert sich auf 
das dynamische Fahrverhalten ohne Interaktion, wodurch die beiden Dauer- 
läufe der Optimistischen und Sicheren Verhaltensentscheidung wiederum sehr 
gut miteinander vergleichbar sind. 


Abbildungen 6.10 bis 6.12 stellen die Ergebnisse der beiden Dauerläufe dar. 
Das Ego-Fahrzeug kommt wegen der künstlich beschädigten Trajektorien 
(Abb. 6.11a), wie in Abb. 6.10 hervorgehoben, ohne Verifikation (also bei der 
Optimistischen Verhaltensentscheidung) ins Schwingen und verlässt mehrmals 
seinen Fahrkorridor. Außerdem gerät es dadurch zum Schluss ungewollt 


* Wenn bspw. in einer Situation sowohl Follow Lane als auch Change Lane Left anwendbar sind. 
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auf den rechten Fahrstreifen, sodass es anschließend nicht mehr rechtzei- 
tig auf den linken Abbiegefahrstreifen zum KIT Campus wechseln kann. 
Daher bleibt es an der letzten Kreuzung stehen, statt die Route abzuschlie- 
ßen. Für die zurückgelegten 5,47km benötigt das Ego-Fahrzeug insgesamt 
1365s = 22 min 45s. 


--- no verification 


— with verification 


Abbildung 6.10: Gefahrener Pfad der Optimistischen Verhaltensentscheidung (rot gestrichelt) im 
Vergleich zur Sicheren Verhaltensentscheidung (blau durchgezogen). 
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= = max. drivable curvature * max. curvature of trajectory (drivable) 


max. curvature of trajectory (not drivable) 
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(a) Maximale Krümmung der zum jeweiligen Zeitpunkt geplanten bzw. künstlich beschädigten Trajektorie. 
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(b) Da die Optimistische Verhaltensentscheidung im Arbitrationsverfahren keine Verifikation nutzt, führt es 
auch die künstlich beschädigten Trajektorien aus. Dadurch gerät das Ego-Fahrzeug mehrmals aus dem 
Fahrkorridor und wechselt einige Male ungewollt auf einen benachbarten Fahrstreifen. 


Abbildung 6.11: Zeitverlauf der Optimistischen Verhaltensentscheidung im Dauerlauf. 


Die Sichere Verhaltensentscheidung kann das Fahrzeug hingegen dank des Ve- 
rifikationsverfahrens stabilisieren, im Fahrkorridor bleiben und die gesamte 
Route sicher absolvieren. Hierzu fängt es Trajektorien mit zu hoher Krüm- 
mung ab (Abb. 6.12a) und wechselt in diesen Fällen auf Alternativoptionen. 
Dadurch wirkt die Verhaltensentscheidung im Zeitverlauf von Abb. 6.12b auf 
den ersten Blick wesentlich unruhiger als in Abb. 6.11b. Bei genauerer Be- 
trachtung ist jedoch erkennbar, dass die allermeisten Entscheidungswechsel 
zwischen der aktuell geeignetsten regulären Verhaltensoption und dem Con- 
tinue Last Maneuver stattfinden. Dieses setzt vorübergehend das Manöver des 
jeweils vorigen Planungsintervalls fort, was einen stabilisierenden Effekt auf 
das Gesamtverhalten hat. Folglich bleibt das Ego-Fahrzeug im Fahrkorridor 
und absolviert die gesamte Route innerhalb von 818 s = 13 min 38 s. 


126 


6.2 Simulative Evaluation 


= = max. drivable curvature * max. curvature of trajectory (drivable) 


* max. curvature of trajectory (not drivable) 
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(a) Dank der Verifikation werden Trajektorien mit jeweils zu hoher maximaler Krümmung verhindert. 
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(b) Sobald die Verifikation erkennt, dass die künstlich beschädigte Trajektorie nicht realisierbar ist, wechselt 
der jeweilige Arbitrator auf die nächstbeste Alternativoption, die der Verifikation standhält. Meist fällt die 
Arbitration somit auf die Continue Last Maneuver Rückfallebene zurück. 


Abbildung 6.12: Zeitverlauf der Sicheren Verhaltensentscheidung im Dauerlauf. 


Im direkten Vergleich der beiden Dauerläufe wird zunächst ersichtlich, dass 
zum einen eine Fehlerwahrscheinlichkeit von p(Ausfall;) = 10% zu instabi- 
lem und daher riskantem Fahrverhalten führen kann. Zudem erkennt die Ve- 
rifikation im Arbitrationsschritt diese Fehler (Abb. 6.12a vs. Abb. 6.11a) und 
stabilisiert das Gesamtverhalten über die Rückfall- und Alternativoptionen. 


6.2.4 Sichere Verhaltensentscheidung 


Dieser Abschnitt untersucht die Verhaltensarbitration darauf, ob und wie 
sie riskante Stellgrößen abfängt und in dem Fall auf Alternativoptionen 
zurückgreift (Sicherheitsziel S6). Die Optimistische Verhaltensentscheidung 
selektiert zwischen den Manöveroptionen ausschließlich auf Grundlage 
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ihrer Start- bzw. Fortsetzungs-Bedingungen. Daher ist zu erwarten, dass 
sie ggf. auch riskante Manöveroptionen auswählt, bei deren Ausführung 
es im schlimmsten Fall zu einem Unfall kommen kann. Je nachdem wie 
kritisch die aktuelle Situation ist, kann es somit - insbesondere, wenn die 
Start- oder Fortsetzungs-Bedingung einer der Verhaltensoptionen zu opti- 
mistisch entworfen wurde - zu einer gefährlichen Situation oder gar einer 
Kollision kommen. Dem entgegengesetzt sollte die Sichere Verhaltensent- 
scheidung diese Manöveroptionen durch die Verifikation mit Vicher als zu 
riskant erkennen und abweisen. Somit werden nur Manöver ausgeführt, 
deren Fail-Safe-Belegung sich nicht mit den Worst-Case-Belegungen anderer 
Verkehrsteilnehmer überlappen. Folglich sollten, solange die Annahmen 
der Erreichbare-Mengen-Analyse erfüllt bleiben (Abschnitt 2.5.2), keine 
Kollisionen vom Ego-Fahrzeug verursacht werden. 


Die Verifikation bzgl. Verkehrssicherheit wurde in ausgewählten Szenarien 
evaluiert. Deren Anfangssitationen sind jeweils so konstruiert, dass sie zu 
einer riskanten Situation führen. Im präsentierten Szenario startet das Ego- 
Fahrzeug zu Beginn der Rintheimer Querallee, wo ein Fahrstreifenwechsel 
notwendig wird (vgl. Abb. 6.2a). Dabei erreicht es den zweispurigen Ab- 
schnitt in einem Moment, indem ein anderes Fahrzeug in knapper Distanz 
auf dem Zielfahrstreifen folgt (Abb. 6.13a). Hierbei wurden die Start- und 
Fortsetzungs-Bedingungen des ChangeLane Verhaltensbausteins so manipu- 
liert, dass der Fahrstreifenwechsel auch bei solch knappen Längsabständen 
eine wahre Start-Bedingung hat. Folglich ist der Fahrstreifenwechsel in 
diesem kritischen Moment anwendbar, während sich die Belegungen der 
entsprechenden Fail-Safe-Trajektorie mit den Worst-Case-Belegungen des 
anderen Verkehrsteilnehmers überschneiden. Außerdem bleibt die Fortset- 
zungs-Bedingung so lange wahr, bis der Zielfahrstreifen erreicht wurde, ohne 
durchgehend zu prüfen, ob die Lücke weiterhin groß genug ist. 


Ergebnisse Optimistische Verhaltensentscheidung 


Die Simulationsergebnisse für die riskante Situation zu Beginn der Rinthei- 
mer Querallee sind für die Optimistische Verhaltensentscheidung in Abb. 6.13 
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und 6.14 dargestellt. Dabei bietet Abb. 6.13a einen guten Überblick über die 
Situation: Nach Abbiegen in die Rintheimer Querallee befindet sich das Ego- 
Fahrzeug auf dem rechten zweier Fahrstreifen in Fahrtrichtung, wobei dieser 
in absehbarer Distanz endet. Gleichzeitig folgt auf dem linken Fahrstreifen ein 
weiteres, schnelleres Fahrzeug etwa 5,8 m hinter dem Ego-Fahrzeug. 


Trotz dieses geringen Abstands deutet das modifizierte Change Lane Left Ver- 
halten zum Zeitpunkt t = 1,9s in seiner Start-Bedingung an, in der vor- 
liegenden Situation anwendbar zu sein. Da zudem die Optimistische Verhal- 
tensentscheidung in ihrer Arbitration keinen Verifikationsschritt durchführt, 
wählt sie die hinsichtlich Routingkosten beste Option Change Lane Left aus 
(Abb. 6.13b), obwohl sich die Belegung der zugehörigen Fail-Safe-Trajektorie 
mit den prädizierten Worst-Case-Belegungen der Objekte bereits überschnei- 


den (Abb. 6.14b). 


Da das grüne Fahrzeug Vorfahrt hat, reagiert es im weiteren Verlauf zudem 
nicht auf das Ego-Fahrzeug. Gleichzeitig bleibt das Ego-Fahrzeug durch die 
Fortsetzungs-Bedingung beim Fahrstreifenwechsel, sodass es zum Zeitpunkt 
t = 5,3s, wie in Abb. 6.14a veranschaulicht, zu einer seitlichen Kollision 
kommt. Der zeitliche Verlauf der Verhaltensentscheidung samt anwendbarer 
und aktiver Optionen kann zusätzlich in Abb. 6.14c nachvollzogen werden. 


Diese Kollision resultiert u.a. aus folgenden drei Gründen. 


1. Die Start-Bedingung des modifizierten Change Lane Left Verhaltens ist 
zu optimistisch und missachtet die vorliegende Vorfahrtsituation. 

2. In der Fortsetzungs-Bedingung wird das Verhalten anderer 
Verkehrsteilnehmer nicht berücksichtigt, insbesondere ob die 
Abstände zu vorausfahrenden und nachfolgenden Fahrzeugen 
weiterhin ausreichend sind. 

3. Die Arbitratoren führen in diesem Modus keinerlei Verifikation der 
Soll- oder Fail-Safe-Trajektorien durch, mit der sie die Gefahr 
erkennen und eine sicherere Option wählen könnten. 


Folglich erzeugt Change Lane Left ein riskantes Manöver, das vom URBAN 
DRIVING und AUTOMATED DRIVING Arbitrator ungeprüft ausgeführt wird. 
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S t=1.9s 


(a) Das blaue Ego-Fahrzeug erreicht einen zweispurigen Abschnitt, an dem ein Fahrstreifenwechsel notwendig 
ist. Dabei nähert sich hinter dem Ego-Fahrzeug ein vorfahrtsberechtigtes, schnelleres und beschleunigendes 
Fahrzeug in Grün. Die Optimistische Verhaltensentscheidung führt dennoch den Fahrstreifenwechsel aus. 
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(b) Die Verhaltensbausteine Follow Lane, Change Lane Left, Continue Last Maneuver, Fail Safe Fallback und 
Emergency Stop sind aktuell anwendbar. Dabei hat Change Lane Left höheren Nutzen und wird ausgewählt, 
weil es der Route folgt. Die Optimistische Verhaltensentscheidung führt allerdings keine Verifikation der 
Stellgrößen durch, sodass dieses riskante Manöver in Abb. 6.14a zur Kollision führt. 


Fail Safe Fallback 


Emergency Stop 


Abbildung 6.13: Beispielsituation der Optimistischen Verhaltensentscheidung in der Evaluati- 
on bzgl. Verkehrssicherheit im Szenario „Riskanter Fahrstreifenwechsel in der 
Rintheimer Querallee“ zum Zeitpunkt t = 1,9 (bzgl. Szenariostart). 
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(a) Da das grüne Fahrzeug des Zielfahrstreifens nicht auf das blaue Ego-Fahrzeug reagiert und der räumliche 
sowie zeitliche Abstand in der Start-Bedingung des modifizierten Change Lane Left Verhaltens besonders 
knapp bemessen ist, kommt es zum Zeitpunkt t = 5,3 s zu einer seitlichen Kollision. 
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(b) Die Abstände zwischen den Belegungen der Ego-Fail-Safe-Trajektorie und den Worst-Case-Belegungen 
der Objekte deuten spätestens ab £ = 2,1s auf das Kollisionsrisiko hin. Auch der Abstand zwischen der 
aktuellen Ego- und der Objekt-Hülle sinkt kontinuierlich bis zur Kollision bei t = 5,3 s. 


applicable — active (safe) — active (unsafe) 
Park i 
Pass Zebra 


Follow Lane 


Change Left \ He 


Change Right collision ae i 
Continue Last i 
Fail Safe l 
Stop ` 
0 1 2 3 4 > $ 
Time [s] 


(c) Der Fahrsteifenwechsel wird bereits früh eingeleitet und trotz kleiner werdender Lücke fortgeführt. 


Abbildung 6.14: Zeitverlauf der Optimistischen Verhaltensentscheidung im Szenario „Riskanter 
Fahrstreifenwechsel in der Rintheimer Querallee“. 
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6 Evaluation und Validierung 


Ergebnisse Sichere Verhaltensentscheidung 


Die Sichere Verhaltensentscheidung nutzt das in Kapitel 4 eingeführte Verifika- 
tionsverfahren, um ebenjene riskanten Manöver zu erkennen und in dem Fall 
auf Alternativoptionen auszuweichen. Von diesem Unterschied in der Ver- 
haltensarbitration abgesehen, sind die Verhaltensbausteine sowie Anfangssi- 
tation in diesem sowie vorherigen Abschnitt identisch. Entsprechend zeigen 
Abb. 6.15 und 6.16 die Simulationsergebnisse derselben riskanten Situation in 
der Rintheimer Querallee für die Sichere Verhaltensentscheidung mit Verifi- 
kation. 


Auch dieses Szenario beginnt zunächst mit der Folgefahrt Follow Lane 
(Abb. 6.15c). Zum Zeitpunkt t = 1,95 wird das Change Lane Left Verhalten 
anwendbar, allerdings erkennt der URBAN Driving Arbitrator diesmal im Ve- 
rifikationsschritt, dass es nicht der Erreichbare-Mengen-Analyse standhält: 
Die Belegung der zugehörigen Fail-Safe-Trajektorie schneidet die Worst- 
Case-Belegungen des grünen Fahrzeugs, wie in Abb. 6.15a veranschaulicht. 
Folglich wird Change Lane Left als unsicher markiert und die nächstbeste 
Option Follow Lane ausgewählt (Abb. 6.16a und 6.16b). 


Während das grüne Fahrzeug am Ego-Fahrzeug vorbeifährt, ist die Start-Be- 
dingung des Change Lane Left Verhaltens wieder inaktiv. Erst zum Zeitpunkt 
t = 8,2s ist das grüne Fahrzeug ausreichend weit vorausgefahren, sodass 
Change Lane Left anwendbar wird. Dann weisen die Belegungen der Fail-Safe- 
Trajektorie auch keine Überlappung mit den Worst-Case-Belegungen des grü- 
nen Fahrzeugs auf, sodass Change Lane Left sicher ist und ausgeführt wird. 
Wie in Abb. 6.15b visualisiert, werden im Laufe des Szenarios nur Verhalten 
ausgewählt, die einen positiven Abstand zu anderen Objekten garantieren. 


Zusammenfassend hat die Sichere Verhaltensentscheidung mithilfe des Ve- 
rifikators "He erkannt, dass das Change Lane Left Manöver während 
t € [1,9s,3,0s] riskant sein könnte und ist auf die Follow Lane Alternative 
ausgewichen. Schließlich wurde so die Kollision aus Abb. 6.14a erfolgreich 
verhindert. Gleichzeitig wurde ein natürliches Fahrverhalten erzeugt, indem 
das Ego-Fahrzeug zunächst die Geschwindigkeit gedrosselt und sich anschlie- 
Bend hinter dem grünen Fahrzeug auf dem linken Fahrstreifen eingereiht hat. 
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6.2 Simulative Evaluation 


t=1.9s 


oceupancy 


MG intersection 


(a) Belegungen der Change Lane Left Fail-Safe-Trajektorie in Blau, Belegungen der Worst-Case-Pradiktionen 
des anderen Fahrzeugs in Grün. Da sich die Belegungen überschneiden, besteht das Change Lane Left Ma- 
növer nicht den Verifikationsschritt des übergeordneten URBAN DRIVING Arbitrators (vgl. Abb. 6.16b). 


worst-case occupancies object hulls 


== safe — no contact 
- - unsafe — collision 

g 30 

g 20 

S 10 

Bd 

A (EEE A ee R euere 

0 2 4 6 8 10 12 


Time [s] 


(b) Die Abstände zwischen den Ego-Fail-Safe- und den Objekt-Worst-Case-Belegungen, sowie zwischen den 
aktuellen Ego- und Objekt-Hüllen, bleiben während des Uberholvorgangs durchgehend größer als 0,6 m. 


applicable —— active (safe) —— rejected by verification 
Park 
Pass Zebra 


Follow Lane 


Change Left — \ 


Change Right KE EE 
Continue Last EE 
Fail Safe 
Stop 
0 2 4 6 8 10 12 
Time [s] 


(c) Da Change Lane Left anwendbar, aber unsicher ist, wird stattdessen Follow Lane ausgeführt. Nachdem das 
grüne Fahrzeug das Ego-Fahrzeug bei t = 8,2 s passiert, wird der Fahrstreifenwechsel sicher durchgeführt. 


Abbildung 6.15: Zeitverlauf der Sicheren Verhaltensentscheidung im Szenario „Riskanter Fahr- 
streifenwechsel in der Rintheimer Querallee“. 
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6 Evaluation und Validierung 


t=1.9s 


(a) Da das Change Lane Left Manöver zum Zeitpunkt t = 1,9 s zu riskant ist, führt die Sichere Verhaltensent- 
scheidung zunächst die Folgefahrt Follow Lane aus. 


Park Near Goal 


Follow Lane 
Slowly Pass Zebra 


Change Lane Left 
$ Urban Driving LA Automated Driving 


Change Lane Right 


` Continue Last Maneuver 


(b) Neben den Rückfallebenen Continue Last Maneuver, Fail Safe Fallback und Emergency Stop sind auch die 
beiden regulären Verhaltensbausteine Follow Lane und Change Lane Left anwendbar. Zwar weist Change 
Lane Left einen höheren Nutzen hinsichtlich Routingkosten auf, besteht allerdings nicht die Verifikation. 
Folglich wird Follow Lane, die nächstbeste Option, die die Verifikation besteht, ausgeführt. 


Fail Safe Fallback 


Emergency Stop 


Abbildung 6.16: Beispielsituation der Sicheren Verhaltensentscheidung im Szenario „Riskanter 
Fahrstreifenwechsel in der Rintheimer Querallee“ zum Zeitpunkt t = 1,9 s 
(bzgl. Szenariostart). 
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7 Zusammenfassung und Ausblick 


In dieser Arbeit wurde eine Systemarchitektur zur sicheren und robusten Ver- 
haltensentscheidung eines automatisierten Fahrzeugs entworfen, die es zu- 
dem ermöglicht, vielfältige Methoden der Verhaltensplanung miteinander zu 
kombinieren. Hierzu wurden grundlegende Verhaltensbausteine mittels gene- 
rischen Arbitratoren hierarchisch in einem Graphen angeordnet. Die Einbet- 
tung der Erreichbare-Mengen-Analyse und Fail-Safe-Trajektorien zur Verifi- 
kation der geplanten Trajektorien, sowie diverse Rückfallebenen, garantieren 
dabei das notwendige Sicherheitsniveau. 


Dieses Kapitel fasst die vorgeschlagene Methodik zusammen, bevor es auf die 
wesentlichen Vor- und Nachteile, insbesondere gegenüber den weitverbreite- 
ten Endlichen Zustandsautomaten, eingeht. Zuletzt werden noch offene For- 
schungsfragen skizziert und ein Ausblick auf mögliche Verbesserungen ge- 


geben. 


7.1 Zusammenfassung 


Zu Beginn dieser Arbeit wurde die Methode der Verhaltensarbitration auf 
das automatisierte Fahren übertragen. Hierzu wurde ein geeignetes Umwelt- 
modell und eine Szenario-unabhängige Manöverrepräsentation definiert. Das 
Umweltmodell umfasst statische sowie dynamische Elemente, die die aktu- 
elle Verkehrssituation beschreiben. Darunter fallen u.a. die hochgenaue Pla- 
nungskarte (sog. Lanelets), der Zustand des Ego-Fahrzeugs sowie Beobach- 
tungen und Prädiktionen anderer Verkehrsteilnehmer. Die zuletzt geplanten 
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7 Zusammenfassung und Ausblick 


Soll- und Fail-Safe-Trajektorien werden ebenfalls im Umweltmodell hinter- 
legt. Die von den Verhaltensbausteinen geplanten Manöver werden schließ- 
lich durch die Soll- und Fail-Safe-Trajektorie, HMI Ausgaben und V2X Nach- 
richten repräsentiert. 


Anschließend wurde das generische Arbitrationsverfahren um eine ebenso 
generische Verifikationslogik erweitert, sodass nur solche Verhaltensoptionen 
ausgeführt werden, die einer Verifikation standhalten. Ausgehend von der ak- 
tuellen Situation bestimmt ein Arbitrator hierfür zunächst welche seiner Ver- 
haltensbausteine anwendbar sind. Entsprechend seiner Priorisierungsstrate- 
gie prüft er anschließend die von dem jeweiligen Verhaltensbaustein zurück- 
gegebene Stellgröße mittels domänenspezifischer Verifikatoren. Sobald eine 
der Verhaltensoptionen diese Verifikation besteht, gibt der Arbitrator die ent- 
sprechende Stellgröße aus. So wird sichergestellt, dass kein ungültiges oder 
unsicheres Verhalten ausgeführt wird. 


Ergänzend wurden drei Verifikatoren für das automatisierte Fahren definiert, 
um potenzielle Manöver auf Gültigkeit, Realisierbarkeit und Verkehrssi- 
cherheit zu überprüfen. Ein Manöver wird als gültig eingestuft, sofern seine 
Trajektorien bzgl. Koordinatensystem und Repräsentation korrekt definiert 
sind. Mittels kinematischen Einspurmodells wird die Fahrbarkeit und so- 
mit Realisierbarkeit der Trajektorien bestimmt. Die Sicherheit wird über 
eine Erreichbare-Mengen-Analyse verifiziert. Hierzu wird die Belegung der 
Fail-Safe-Trajektorie mit den Worst-Case-Belegungen aller vorfahrtsberech- 
tigten Verkehrsteilnehmer verglichen. Erst wenn diese keine Überlappungen 
aufweisen, wird dieses Manöver als nachweislich sicher eingestuft. 


Hierauf aufbauend wurde schließlich ein Sicherheitskonzept entworfen, das 
die Ausfallsicherheit und Verkehrssicherheit der Verhaltensgenerierung ge- 
währleistet. Dazu setzt es zur Fehlervermeidung auf einen sorgfältigen Sys- 
tementwurf und auf Echtzeitfähigkeit. Durch Verifikation werden Fehler, wie 
ausgefallene Verhaltensbausteine oder zu riskante Fahrmanöver, bereits im 
Entscheidungsprozess erkannt. Das Arbitrationsverfahren kompensiert sol- 
che Fehler schließlich mittels Redundanz und Diversität in Form von Rückfal- 
lebenen. Die erste Rückfallebene gibt die zuletzt ausgeführte Soll-Trajektorie 
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7.2 Diskussion 


zurück, solange diese realisierbar und nicht zu alt ist sowie der Verifikati- 
on standhält. Ist dies nicht mehr möglich, führt die nächste Ebene die letzte 
Fail-Safe-Trajektorie aus, sofern sie weiterhin beweisbar sicher ist. Die dritte 
Rückfallebene stellt ein Nothaltemanöver zur Verfügung und darf als einzige 
Verhaltensoption auch dann ausgeführt werden, wenn ihre Verifikation fehl- 
schlägt. So kann jederzeit ein MRM bereitgestellt werden. 


Zuletzt wurde das Sicherheitskonzept in der ColnCar Simulationsumgebung 
auf einer für Realversuche genutzten Karlsruher Teststrecke evaluiert. Die 
Implementierung wurde insbesondere hinsichtlich der Sicherheitsziele un- 
tersucht, ungültige und riskante Stellgrößen zu verhindern. Hierfür wurde 
das Verhaltensmodell des Ego-Fahrzeugs verschiedenen Stresstests und Mo- 
difikationen unterworfen. Im ersten Teil wurde die Soll-Trajektorie einzel- 
ner Verhaltensbausteine mit einer festgelegten Fehlerwahrscheinlichkeit re- 
produzierbar beschädigt. Hierbei konnte gezeigt werden, dass die Verhaltens- 
entscheidung dank der Fehlererkennung und -kompensation auch bei hohen 
Ausfallraten in der Lage war, ein sicheres und stabiles Fahrverhalten zu er- 
zeugen. Im zweiten Teil wurde das Sicherheitskonzept in konstruierten, be- 
sonders riskanten Szenarien bzgl. der Verkehrssicherheit untersucht. Dank 
der Verifikation mit der Erreichbaren-Mengen-Analyse konnten Manöver, die 
ohne das vorgestellte Sicherheitskonzept zu einer Kollision geführt hätten, 
rechtzeitig erkannt und stattdessen eine sichere Alternativoption ausgeführt 
werden. 


7.2 Diskussion 


Die in dieser Arbeit vorgestellte Methode zur Verhaltensentscheidung kom- 
biniert die Arbitrationsgraphen mit Maßnahmen aus dem Bereich der zuver- 
lässigen und fehlertoleranten Systeme. Hierdurch ergeben sich u. a. folgende 
Vorteile des Ansatzes, die teilweise auch in [Orz20] präsentiert wurden: 


Unterstützung unterschiedlicher Planungsmethoden Die Verhaltens- 
arbitration bietet eine geeignete Möglichkeit, unterschiedliche Pla- 
nungsmethoden innerhalb einer Architektur zu vereinen. Diese können 
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7 Zusammenfassung und Ausblick 


sowohl verschiedene Fahrkompetenzen und Szenarien adressieren, als 
auch dieselbe Fahrkompetenz mittels vielfältiger, sich ergänzender Me- 
thoden umsetzen. In der Evaluation wurden bspw. zwei verschiedene 
Trajektorienplaner eingesetzt. Ein vereinfachter Ansatz auf IDM-Basis 
adressierte urbane korridorbasierte Manöver, während für das Park- 
manöver mit der RRT* Methode Hybrid Curvature Trajektorien geplant 
wurden. 


Konsequente Modularität und Skalierbarkeit Verhaltensbausteine be- 


stimmen in ihren Start- und Fortsetzungs-Bedingungen selbst, wann sie 
anwendbar sind. Dadurch bleiben Arbitratoren anwendungsunabhän- 
gig und benötigen kein Wissen über die Voraussetzungen zum Aufruf 
einzelner Verhaltensbausteine. Diese Entkopplung der Situationsin- 
terpretation von der Auswahllogik erhöht die Wiederverwendbarkeit, 
Testbarkeit und Wartbarkeit der Verhaltensbausteine sowie Arbitra- 
toren. Die konsequente Modularität führt außerdem zu einer guten 
Skalierbarkeit sowohl bzgl. Systemkomplexität als auch der Laufzeit. 


Bottom-Up Entwurf Ausgehend von den ODDs und adressierten Verhal- 


tenskompetenzen werden im Systementwurf zunächst grundlegen- 
de Verhaltensbausteine entwickelt. Diese werden anschließend im 
Bottom-Up Verfahren zu einem hierarchischen Arbitrationsgraphen 
zusammengesetzt. Somit können die Verhaltensbausteine voneinander 
unabhängig entworfen und entwickelt werden. Komplexes System- 
verhalten, wie mehrfach aufeinanderfolgende Fahrstreifenwechsel 
um den Abbiegefahrstreifen zu erreichen, entsteht zudem aus ein- 
fachen Bausteinen, ohne jedes dieser Szenarien durch spezialisierte 
Entscheidungs- oder Planungsverfahren explizit adressieren zu müs- 
sen. 


Iterativ erweiterbar In der Weiterentwicklung eines Systems können Ar- 
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bitrationsgraphen stets iterativ erweitert werden. Um neue Verhaltens- 
bausteine hinzuzufügen, müssen lediglich ihre Start- und Fortsetzungs- 
Bedingungen definiert, sowie eine geeignete Platzierung innerhalb des 
Arbitrationsgraphen festgelegt werden. Dank der starken Entkopplung 


7.2 Diskussion 


sind keine Anderungen an einem der anderen Verhaltensbausteine er- 


forderlich. 


Nachvollziehbares Verhalten Der streng modulare Aufbau sowie die kon- 
sequente Trennung von Situationsinterpretation und Auswahllogik 
trägt im Vergleich zu Endlichen Zustandsautomaten oder klassischen 
verhaltensbasierten Systemen zu einer deutlich besseren Verständ- 
lichkeit bei. Sowohl die Start- und Fortsetzungs-Bedingungen der 
Verhaltensbausteine als auch die Auswahllogik der Arbitratoren sind 
transparent und nachvollziehbar. Dadurch kann der hierarchische 
Entscheidungsprozess schnell erfasst und im zeitlichen Verlauf gut 
nachvollzogen werden. 


Robustes und sicheres Verhalten Geben Verhaltensbausteine fehlerhafte 
Stellgrößen zurück oder fallen sogar komplett aus, stellt die Verifikati- 
onslogik sicher, dass auf Alternativoptionen sowie die Rückfallebenen 
zurückgegriffen wird. Ggf. auftretende Ausfälle können dadurch früh- 
zeitig eingegrenzt werden und beeinträchtigen nicht die Stabilität des 
Gesamtsystems. In der Anwendung des automatisierten Fahrens wer- 
den somit ungültige, nicht realisierbare oder riskante Trajektorien ab- 
gefangen und ein robustes und sicheres Fahrverhalten sichergestellt. 


Mehrschichtiges Sicherheitskonzept Die vorgestellte Verifikationslogik 
ermöglicht es, Stellgrößen vor der Ausführung hinsichtlich vielfacher 
Kriterien zu überprüfen. Für den Fehlerfall können zudem mehrere 
abgestufte Rückfallebenen definiert werden, sodass das System bei 
Ausfällen reibungslos degradiert. Im automatisierten Fahren werden 
die Trajektorien hinsichtlich ihrer Gültigkeit, Realisierbarkeit und 
Verkehrssicherheit untersucht. In den Rückfallebenen wird zunächst 
versucht, die zuletzt ausgeführte Trajektorie fortzusetzen. Ist diese 
nicht mehr sicher, kann im Regelfall auf die Fail-Safe-Trajektorie zu- 
rückgegriffen werden. Muss allerdings auch diese wegen unerwarteter 
Ereignisse als nicht mehr sicher eingestuft werden, wird schließlich 
eine Notbremsung eingeleitet. 


139 
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7.3 Ausblick 


Der Einsatz von Arbitrationsgraphen im automatisierten Fahren stellt einen 
vielversprechenden Ansatz für eine sichere und robuste Verhaltensentschei- 
dung dar. Dennoch gibt es in der Verhaltensplanung, -entscheidung und - 
verifikation noch zahlreiche offene Forschungsfragen und Verbesserungspo- 
tential. 


In der Trajektorienplanung würde es sich anbieten, die Fail-Safe- und Soll- 
Trajektorie in einem gemeinsamen Planungsproblem zu lösen. Bisher wur- 
den in dieser sowie anderen Publikationen [Alt16, Pek18] zunächst die Soll- 
Trajektorie und erst anschließend die Fail-Safe-Trajektorie geplant. Dadurch 
kann es in kritischen Situationen zu einer zu optimistischen Soll-Trajektorie 
kommen, für die keine beweisbar sichere Fail-Safe-Trajektorie mehr gefunden 
werden kann. In solchen Fällen muss die Arbitration deswegen auf die Alter- 
nativoptionen zurückgreifen. Integriert man hingegen beide Trajektorien in 
ein Planungsproblem, würden nur Soll-Trajektorien geplant, die eine sichere 
Fail-Safe-Trajektorie ermöglichen und somit sicher sind. 


Im aktuellen Ansatz plant jeder Verhaltensbaustein eine Fail-Safe-Trajektorie. 
Deren Sicherheit überprüft der übergeordnete Arbitrator mit dem Vicher Ve- 
rifikator, indem sie mit den Worst-Case-Belegungen verglichen wird. Hierbei 
kann die Kombination aller möglichen Worst-Case-Ereignisse innerhalb ei- 
ner Prädiktion zu übervorsichtigem Verhalten führen und somit die Effizienz 
und Akzeptanz des Systems schmälern. Alternativ könnte die Verifikation ver- 
schiedene einzelne Worst-Case-Szenarien abbilden (Gegenverkehr schert aus, 
Kind rennt auf die Straße, vorausfahrendes Fahrzeug leitet Notbremsung ein, 
etc.) und von den Verhaltensbausteinen für jede dieser Möglichkeiten jeweils 
eine Fail-Safe-Trajektorie fordern. Somit wäre das Verhalten weniger konser- 
vativ und könnte gleichzeitig mögliche Regelverstöße (engl. ,,incompliant be- 
havior“) mit berücksichtigen. Allerdings wäre das Verhalten dann ggf. nicht 
mehr sicher, wenn mehrere dieser Risikofaktoren gleichzeitig eintreten (z.B. 
schert der Gegenverkehr aus, weil ein Kind auf die Straße rennt). 
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7.3 Ausblick 


In der Belegungsprädiktion werden zudem bisher nur vorfahrtsberechtigte 
Verkehrsteilnehmer berücksichtigt, wobei dem Ego-Fahrzeug voraussichtlich 
auch bei Kollisionen mit nicht vorfahrtsberechtigten Verkehrsteilnehmern ei- 
ne Teilschuld zugeschrieben würde, wenn es nicht adäquat auf diese reagiert. 
Daher ist eine noch offene Fragestellung, wie Regelverstöße anderer Ver- 
kehrsteilnehmer in der Verifikation berücksichtigt werden können. In einem 
ersten Schritt kann für nicht-vorfahrtsberechtigte Verkehrsteilnehmer zu- 
mindest auch eine Belegung mit Best-Case-Annahme berücksichtigt werden. 


Eine weitere interessante Forschungsfrage ist, wie die Verifikationslogik 
mit den Rückfallebenen genutzt werden kann, um - hinsichtlich einer 
angestrebten Fahrkompetenz - bestmöglich zwischen verschiedenen Ver- 
haltensplanern zu wählen. Für ein interaktives Reißverschlussverfahren 
könnte bspw. mit höchster Priorität ein Verfahren des Maschinellen Lernens 
eingesetzt werden. Liefert dieses eine ungültige oder zu riskante Trajektorie, 
kann auf eine Trajektorienoptimierung mittels Sequentieller Quadratischer 
Programmierung gewechselt werden. Konvergiert diese nicht oder zu lang- 
sam, würde schließlich ein IDM-basierter Ansatz eine akzeptable Trajektorie 
liefern. Eine parallele Auswertung der verschiedenen Optionen würde dabei 
die Echtzeitfähigkeit sicherstellen. 


Zuletzt bietet die Verhaltensarbitration mit dem vorgestellten Sicherheitskon- 
zept eine optimale Grundlage, um unsichere Planungsmethoden in der Ver- 
haltensentscheidung abzusichern. Daher stellt der Einsatz von Methoden des 
Maschinellen Lernens zur Verhaltensplanung innerhalb des Arbitrationsver- 
fahrens ein spannendes Forschungsfeld dar und sollte ausgiebig untersucht 
werden. 
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Abkürzungsverzeichnis 


ACC Adaptive Cruise Control [SAE21] 

BDI Belief-Desire-Intention 

EKF Elektrokleinstfahrzeug 

FMEA Fehlzustandsart- und -auswirkungsanalyse [DIN06] 
FTA Fehlzustandsbaumanalyse [DIN07] 

GPS Globales Positionsbestimmungssystem 


(engl. „Global Positioning System“) 


HMI Mensch-Maschine-Schnittstelle 
(engl. „Human Machine Interface“) 


IDM Intelligent Driver Model 

KFZ Kraftfahrzeug 

KIT Karlsruher Institut für Technologie 
LKW Lastkraftwagen 

MRC Risikominimaler Zustand 


(engl. „Minimal Risk Condition“) 


MRM Risikominimierendes Manöver 
(engl. „Minimal Risk Maneuver") 


NHTSA National Highway Traffic Safety Administration 
ODD engl. „Operational Design Domain“ [SAE21] 
PKW Personenkraftwagen 


163 


Abkürzungsverzeichnis 


POMDP 


V2I 


V2V 


V2X 


VRU 
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Partiell beobachtbares Markow-Entscheidungsproblem 
(engl. „Partially Observable Markov Decision Process“) 


Probabilistische Straßenkarten 
(engl. „Probabilistic Roadmaps“) 


Bestärkendes Lernen 
(engl. „Reinforcement Learning“) 


Robot Operating System [Qui09] 
Rapidly-exploring Random Trees 
engl. „Safety of the Intended Functionality“ [ISO19] 


Kommunikation zur Flottenverwaltung 
(engl. „Vehicle to Fleet Management Communication“) 


Fahrzeug-Infrastruktur-Kommunikation 
(engl. „Vehicle to Infrastructure Communication“) 


Fahrzeug-Fahrzeug-Kommunikation 
(engl. „Vehicle to Vehicle Communication“) 


Fahrzeug-zu-X-Kommunikation, 
Sammelbegriff für V2V, V2I und V2F 


vulnerabler Verkehrsteilnehmer 
(engl. „Vulnerable Road User“) 


A 


Verhaltenskompetenzen 


Folgende grundlegende Verhaltenskompetenzen wurden von der NHTSA und 


Waymo zusammengetragen [Way20a]: 


1 
2 
3 
4 


oOo won nun 


10 
11 
12 
13 
14 
15 
16 


17 


18 
19 


Detect and Respond to Speed Limit Changes and Speed Advisories 
Perform High-Speed Merge (e.g., Freeway) 

Perform Low-Speed Merge 

Move Out of the Travel Lane and Park (e.g., to the Shoulder for 
Minimal Risk) 

Detect and Respond to Encroaching Oncoming Vehicles 

Detect Passing and No Passing Zones and Perform Passing Maneuvers 
Perform Car Following (Including Stop and Go) 

Detect and Respond to Stopped Vehicles 

Detect and Respond to Lane Changes 

Detect and Respond to Static Obstacles in the Path of the Vehicle 
Detect Traffic Signals and Stop/Yield Signs 

Respond to Traffic Signals and Stop/Yield Signs 

Navigate Intersections and Perform Turns 

Navigate Roundabouts 

Navigate a Parking Lot and Locate Spaces 


Detect and Respond to Access Restrictions (One-Way, No Turn, 
Ramps, etc.) 


Detect and Respond to Work Zones and People Directing Traffic in 
Unplanned or Planned Events 


Make Appropriate Right-of-Way Decisions 


Follow Local and State Driving Laws 
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20 


21 


22 
23 
24 
25 


26 
27 


28 


29 


30 
31 
32 
33 


34 


35 
36 
37 
38 


39 
40 
41 
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Follow Police/First Responder Controlling Traffic (Overriding or 
Acting as Traffic Control Device) 


Follow Construction Zone Workers Controlling Traffic Patterns 
(Slow/Stop Sign Holders) 


Respond to Citizens Directing Traffic After a Crash 
Detect and Respond to Temporary Traffic Control Devices 
Detect and Respond to Emergency Vehicles 


Yield for Law Enforcement, EMT, Fire, and Other Emergency Vehicles 
at Intersections, Junctions, and Other Traffic Controlled Situations 


Yield to Pedestrians and Bicyclists at Intersections and Crosswalks 


Provide Safe Distance From Vehicles, Pedestrians, Bicyclists on Side of 
the Road 


Detect/Respond to Detours and/or Other Temporary Changes in 
Traffic Patterns 


Moving to a Minimal Risk Condition When Exiting the Travel Lane is 
Not Possible 


Perform Lane Changes 
Detect and Respond to Lead Vehicle 
Detect and Respond to a Merging Vehicle 


Detect and Respond to Pedestrians in Road (Not Walking Through 
Intersection or Crosswalk) 


Provide Safe Distance from Bicyclists Traveling on Road (With or 
Without Bike Lane) 


Detect and Respond to Animals 
Detect and Respond to Motorcyclists 
Detect and Respond to School Buses 


Navigate Around Unexpected Road Closures (e.g. Lane, Intersection, 
etc.) 


Navigate Railroad Crossings 
Make Appropriate Reversing Maneuvers 


Detect and Respond to Vehicle Control Loss (e.g. reduced road friction) 
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43 


44 


45 


46 


47 


Detect and Respond to Conditions Involving Vehicle, System, or 
Component-Level Failures or Faults (e.g. power failure, sensing failure, 
sensing obstruction, computing failure, fault handling or response) 
Detect and Respond to Unanticipated Weather or Lighting Conditions 
Outside of Vehicle’s Capability (e.g. rainstorm) 

Detect and Respond to Unanticipated Lighting Conditions (e.g. power 
outages) 

Detect and Respond to Non-Collision Safety Situations (e.g. vehicle 
doors ajar) 

Detect and Respond to Faded or Missing Roadway Markings or 
Signage 

Detect and Respond to Vehicles Parking in the Roadway 
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In dieser Arbeit wird zunächst eine anwendungsunabhängige System- 
architektur zur sicheren und robusten Verhaltensentscheidung mobiler 
Roboter vorgeschlagen. Diese setzt grundlegende Verhaltensoptionen in 
einem hierarchischen Arbitrationsgraphen zusammen und sichert dabei 
die Stellgrößen mittels Verifikation und diversen Rückfallebenen ab. Die 
jeweiligen Verhaltensbausteine übernehmen dabei die Situationsinter- 
pretation und Verhaltensplanung, während generische Arbitratoren den 
Entscheidungsprozess realisieren. 

Anschließend wird diese Architektur auf den Kontext des automatisierten 
Fahrens angewandt und in Simulation evaluiert. Dabei planen die Ver- 
haltensoptionen einzelne Fahrmanöver und geben diese als Trajektorien 
aus. Drei Verifikatoren prüfen diese auf Gültigkeit, Realisierbarkeit und 
Verkehrssicherheit. Stellt sich ein Fahrmanöver bspw. als unsicher heraus, 
greift die Arbitration auf Alternativoptionen und drei Rückfallebenen 
zurück, um weiterhin ein sicheres Verhalten zu erzeugen. 

Die Evaluation zeigt, dass die vorgestellte Methode auch bei hohen Aus- 
fallraten ein sicheres und stabiles Fahrverhalten erzeugt. Die Entkopplung 
von Situationsinterpretation und Verhaltensentscheidung trägt außerdem 
zu einer transparenten und nachvollziehbaren Entscheidungsfindung bei. 
Dank konsequenter Modularität können vielfältige Methoden der Ver- 
haltensplanung effizient und skalierbar miteinander kombiniert werden. 
Zudem ermöglicht der Bottom-Up Entwurf schnelles Prototyping und eine 
iterative Weiterentwicklung des Gesamtsystems. 
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